F5 BIG-IP, BIG-IQ의 치명적인 취약점으로 인해 취약 시스템에서 원격 코드 실행 가능성 발생
목차:
2021년 3월 10일, F5는 원격 공격자가 취약한 호스트에 대해 완전한 제어권을 획득하기 위해 이용할 수 있는 일련의 치명적인 보안 문제를 해결했습니다. 공급자에 따르면, 네 가지 치명적인 버그가 BIG-IP 및 BIG-IQ 제품에 존재하며, 영향을 받는 인스턴스에서 원격 코드 실행(RCE)을 가능하게 합니다. 보안 구멍의 존재는 Fortune 50 기업 중 48개가 F5의 기업 네트워킹 인프라 제품에 의존하고 있기 때문에 파괴적인 결과를 초래할 수 있습니다. 이는 목록 에는 유명한 기술 공급자, 정부 기관, 의료 제공자, 금융 기관, 통신 회사가 포함됩니다.
F5 BIG-IP, BIG-IQ의 치명적인 취약점
가장 긴급하고 치명적인 결함은 CVE-2021-22986 및 CVE-2021-22987로, 각각 CVSS 심각도 점수가 9.8 및 9.9로 할당되었습니다. 첫 번째 문제(CVE-2021-22986)는 iControl REST 인터페이스에 존재하는 인증되지 않은 원격 명령 실행 취약점입니다. 이는 해커가 임의의 시스템 명령 실행, 파일 생성/삭제 및 시스템 서비스 관리를 가능하게 합니다. 두 번째 버그(CVE-2021-22987)는 애플리케이션 모드에서 실행될 때 인증된 RCE를 발생시키는 트래픽 관리 사용자 인터페이스(TMUI)의 잘못된 구성에서 비롯된 것입니다.
나머지 두 F5 BIG-IP 및 BIG-IQ의 치명적인 버그(CVE-2021-22991, CVE-2021-22992)는 트래픽 관리 마이크로커널(TMM) 및 고급 WAF/ASM 가상 서버에서 기인하는 버퍼 오버플로 문제입니다. 두 결함 모두 CVSS 9.0 심각도 점수를 받았으며, 원격 코드 실행 및 서비스 거부(DoS)를 영향을 받은 설치에서 가능하게 합니다.
치명적인 보안 문제와 함께, F5는 또한 원격 코드 실행을 초래할 수 있는 두 가지 높은 심각도의 버그(CVE-2021-22988, CVE-2021-22989)와 하나의 중간 심각도의 버그(CVE-2021-2290)를 패치했습니다.
탐지 및 완화
에 따르면 F5 권고문, 네 가지 치명적인 구멍은 BIG-IP 버전 11.6 또는 12.x 및 최신 버전에 영향을 미치며, 그 중 하나는 BIG-IQ 버전 6.x 및 7.x에도 영향을 미칩니다. 이 문제에 대한 보안 패치는 이번 주에 출시되었으므로, 사용자들은 즉시 업데이트할 것을 권장합니다.
가능한 익스플로잇 시도를 감지하고 침입에 대한 사전 방어를 가능하게 하기 위해, SOC 프라임 팀은 Threat Detection Marketplace에서 사용할 수 있는 Sigma 규칙 세트를 출시했습니다.
가능한 F5 CVE-2021-22991 (Zeek을 통해)
이 위험한 결함과 관련된 추가 업데이트 및 새로운 탐지를 놓치지 않으려면 블로그를 계속 주시하세요. 모든 최신 정보와 차기 Sigma 규칙은 이 기사에 추가될 것입니다.
F5는 제품의 매우 위험한 결함을 긴급히 패치하고 있는 세계 제2위의 기업입니다. 2021년 3월 초, Microsoft는 Exchange Server에 영향을 미치는 여러 제로데이 취약점을 해결합니다. 이러한 결함은 중국과 연계된 Hafnium APT를 포함한 여러 위협 행위자에 의해 즉시 실험적으로 사용되었습니다. SOC 프라임 팀은 이러한 제로데이 문제에 대해 빠른 탐지 및 사전 방어를 가능하게 하는 Sigma 규칙 세트를 출시했습니다. 탐지 목록은 당사의 전용 블로그 게시물에서 확인할 수 있습니다. 추가로, 규칙은 Uncoder.io, Sigma 규칙 형식을 사용 중인 보안 플랫폼에 맞춰 위협 탐지 콘텐츠로 변환하기 위한 SOC 프라임의 도구입니다.
Threat Detection Marketplace 구독은 세계 최대의 탐지 및 대응 규칙 라이브러리, 파서, 검색 쿼리 및 기타 SOC 콘텐츠를 모으는 업계 최초의 Content-as-a-Service (CaaS) 및 Detection as Code 플랫폼입니다. 300명 이상의 기여자가 우리 글로벌 라이브러리를 매일 풍부하게 하여 공격 수명주기의 가장 초기 단계에서 가장 중대한 사이버 위협을 지속적으로 탐지할 수 있도록 돕습니다. 이러한 위협 사냥 활동에 참여하고 싶습니까? SOC 프라임의 위협 현상금 프로그램 참여 안전한 미래를 위해!