Уязвимость интерфейса iControl REST API средств защиты приложений BIG-IP связана с отсутствием проверки подлинности для критически важной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды, изменять или удалять файлы
BDU:2022-02849
CVE-2022-1388
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
блокирование доступа к iControl REST через собственный IP-адрес;
изменение TCP-портов 443 и 8443, используемых по умолчанию;
блокирование доступа к iControl REST через интерфейс управления;
изменение конфигурации BIG-IP httpd
Войти в оболочку TMOS ( tmsh ) системы BIG-IP, введя следующую команду:
tmsh
Открыть конфигурацию httpd для редактирования, введя следующую команду:
edit /sys httpd all-properties
Найти строку, начинающуюся с include none , и замените none следующим текстом:
Примечание . Если текущий оператор включения уже содержит конфигурацию, отличную от none, добавьте следующую конфигурацию в конец текущей конфигурации в пределах существующих символов двойных кавычек ( " ).
"<If \"%{HTTP:connection} =~ /close/i \">
RequestHeader set connection close
</If>
<ElseIf \"%{HTTP:connection} =~ /keep-alive/i \">
RequestHeader set connection keep-alive
</ElseIf>
<Else>
RequestHeader set connection close
</Else>"
После обновления оператора include использовать клавишу ESC, чтобы выйти из интерактивного режима редактора, затем сохраните изменения, введя следующую команду:
:wq
В ответ на приглашение Сохранить изменения (y/n/e) выбрать y , чтобы сохранить изменения.
Сохраните конфигурацию BIG-IP, введя следующую команду:
save /sys config
Использование рекомендаций:
https://support.f5.com/csp/article/K23605346
BDU:2022-02849
CVE-2022-1388
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
блокирование доступа к iControl REST через собственный IP-адрес;
изменение TCP-портов 443 и 8443, используемых по умолчанию;
блокирование доступа к iControl REST через интерфейс управления;
изменение конфигурации BIG-IP httpd
Войти в оболочку TMOS ( tmsh ) системы BIG-IP, введя следующую команду:
tmsh
Открыть конфигурацию httpd для редактирования, введя следующую команду:
edit /sys httpd all-properties
Найти строку, начинающуюся с include none , и замените none следующим текстом:
Примечание . Если текущий оператор включения уже содержит конфигурацию, отличную от none, добавьте следующую конфигурацию в конец текущей конфигурации в пределах существующих символов двойных кавычек ( " ).
"<If \"%{HTTP:connection} =~ /close/i \">
RequestHeader set connection close
</If>
<ElseIf \"%{HTTP:connection} =~ /keep-alive/i \">
RequestHeader set connection keep-alive
</ElseIf>
<Else>
RequestHeader set connection close
</Else>"
После обновления оператора include использовать клавишу ESC, чтобы выйти из интерактивного режима редактора, затем сохраните изменения, введя следующую команду:
:wq
В ответ на приглашение Сохранить изменения (y/n/e) выбрать y , чтобы сохранить изменения.
Сохраните конфигурацию BIG-IP, введя следующую команду:
save /sys config
Использование рекомендаций:
https://support.f5.com/csp/article/K23605346