F5 BIG-IP

F5 BIG-IP - семейство продуктов, платформа, в состав которой входят специально созданные аппаратные средства, программные модули, решения для виртуализации, работающие под управлением операционной системы TMOS.

В зависимости от устройства, один или несколько модулей продукта BIG-IP могут добавляться в устройство семейства BIG-IP для обеспечения нескольких сетевых функций в рамках единой, унифицированной платформы.

В состав платформы входят аппаратные модули:

• Local Traffic Manager (LTM): оборудование локальной балансировки нагрузки;
• Global Traffic Manager (GTM): сервер глобальной балансировки с использованием DNS;
• Link Controller: балансировщик входящей и исходящей нагрузки провайдера Интернет;
• Application Security Manager (ASM): брандмауэр сетевых приложений;
• WebAccelerator: решение симметричного или асимметричного кэширования для HTTP и HTTPS трафика;
• Edge Gateway: граничный SSL-маршрутизатор сетей VPN;
• WAN Optimisation Module: решение симметричной WAN-оптимизации ЦОД;
• Access Policy Manager (APM): обеспечивает аутентификацию и контроль доступа для приложений HTTP и HTTPS;
• Secure Web Gateway (SWG): продукт для фильтрации ссылок, блокирования вредоносных сайтов, безопасного просмотра страниц корпоративными пользователями
• Advanced Firewall Manager (AFM): решение для зашиты от атак DDoS, брандмауэр для ЦОД;
• IP Intelligence (IPI): средство блокирования IP-адресов по "черному списку", противостояния фишинговым атака и ботнетам
• WebSafe: технология защиты от мошеннических угроз с использованием средств шифрования, обнаружения вредоносных программ и анализа поведения пользователя.

2022: Исправление уязвимости, позволяющей неаутентифицированному злоумышленнику выполнять произвольные системные команды

F5 предупредила о критической уязвимости BIG-IP.

Уязвимость связана с отсутствием проверки аутентификации, что потенциально позволяет злоумышленнику получить контроль над уязвимыми системами. Об этом стало известно 5 мая 2022 года.

Компания выпустила исправления для 43 ошибок в своих продуктах. Из 43 уязвимостей у одной рейтинг опасности критический, у 17 – высокий, у 24 – средний и ещё одна имеет низкий рейтинг опасности.

Главной среди уязвимостей – CVE-2022-1388 с оценкой CVSS 9,8 из 10.

Уязвимость могла позволить неаутентифицированному злоумышленнику выполнять произвольные системные команды, создавать или удалять файлы, а также отключать службы при наличии сетевого доступа к системе BIG-IP через порт управления и/или собственные IP-адреса, – говорится в сообщении компании. — Уязвимость никак не влияет на данные, только на контроль над системой.

По словам F5, уязвимость была обнаружена внутри компании и затрагивает продукты BIG-IP следующих версий:

• 16.1.0 - 16.1.2
• 15.1.0 - 15.1.5
• 14.1.0 - 14.1.4
• 13.1.0 - 13.1.4
• 12.1.0 - 12.1.6
• 11.6.1 - 11.6.5

Обход аутентификации iControl REST был исправлен в версиях 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 и 13.1.5. Другие продукты F5 – BIG-IQ Centralized Management, F5OS-A, F5OS-C и Traffix SDC, не уязвимы к CVE-2022-1388.

До применения исправлений F5 предложила пользователям временные меры безопасности:

• Блокировать доступ к iControl REST через собственный IP-адрес(self IP address).
• Блокировать доступ к iControl REST через интерфейс управления.
• Изменить конфигурацию httpd BIG-IP.
• Собственный IP-адрес (self IP address) — это IP-адрес в системе BIG-IP, который пользователь связывает с VLAN для доступа к хостам в этой VLAN.

Другие устраненные в обновлении ошибки могут позволить аутентифицированному злоумышленнику обойти ограничения режима Appliance и выполнить произвольный JavaScript-код в контексте текущего зарегистрированного пользователя.

Поскольку устройства F5 используются в корпоративных сетях, организациям необходимо как можно скорее применить исправления, защитив системы от первоначального доступа хакеров.

Ранее сообщалось про успешные атаки на BIG-IP и BIG-IQ через исправленную уязвимость, которая позволяла удаленно выполнить код и затрагивала большинство версий программного обеспечения F5 BIG-IP и BIG-IQ^[1].

2020: Устранение уязвимости в контроллере доставки приложений BIG-IP

Эксперт Positive Technologies Михаил Ключников выявил критически опасную уязвимость в конфигурационном интерфейсе контроллера доставки приложений BIG-IP. Использовав эту ошибку, злоумышленник мог получить возможность выполнения команд от лица неавторизованного пользователя и полностью скомпрометировать систему, например перехватить трафик веб-ресурсов, которым управляет контроллер. Атака может быть реализована удаленно. Об этом 2 июля 2020 года сообщили в Positive Technologies.

В ходе мониторинга актуальных угроз (threat intelligence) эксперты Positive Technologies выяснили, что на конец июня 2020 года в мире насчитывалось свыше 8 тысяч уязвимых устройств, доступных из интернета, из них 40% — в США, 16% — в Китае, 3% — на Тайване, по 2,5% — в Канаде и Индонезии. В России было обнаружено менее 1% уязвимых устройств.

Уязвимость с идентификатором CVE-2020-5902 получила оценку 10 баллов по шкале CVSS. Для эксплуатации уязвимости атакующий должен отправить специально сформированный HTTP-запрос на сервер, где расположен Traffic Management User Interface (TMUI), также известный как «конфигурационная утилита системы BIG-IP».

«Эта уязвимость дает возможность удаленному злоумышленнику, в том числе не прошедшему проверку подлинности, но имеющему доступ к конфигурационной утилите BIG-IP, выполнить произвольный код в программном обеспечении (RCE). В результате атакующий сможет создавать или удалять файлы, отключать службы, перехватывать информацию, выполнять произвольные системные команды и произвольный Java-код, полностью скомпрометировать систему и развить атаку, например на внутренний сегмент сети. К RCE приводит совокупность недостатков безопасности нескольких компонентов системы (например, выход за пределы каталога). Особой опасности подвергаются компании, у которых веб-интерфейс F5 BIG-IP можно обнаружить в специальных поисковых системах, таких как Shodan, но надо отметить, что необходимый интерфейс доступен из глобальной сети далеко не у всех компаний-пользователей», отметил Михаил Ключников, эксперт Positive Technologies

В Positive Technologies отметили, что для устранения уязвимости необходимо обновить систему до последней версии: уязвимые версии BIG-IP (11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x) следует заменить на версии, в которых уязвимость устранена (BIG-IP 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6, 15.1.0.4). Для пользователей публичных облачных маркетплейсов (AWS, Azure, GCP и Alibaba) необходимо использовать версии BIG-IP Virtual Edition (VE) 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6 или 15.1.0.4) при условии их наличия на этих рынках. Остальные рекомендации приведены в уведомлении F5 BIG-IP.

Кроме того, компания F5 устранила и вторую уязвимость в конфигурационном интерфейсе BIG-IP, обнаруженную Михаилом Ключниковым. Уязвимость CVE-2020-5903 с оценкой 7.5 относится к классу XSS. Злоумышленник может использовать эту ошибку для исполнения вредоносного JavaScript-кода от имени пользователя, вошедшего в систему. В случае пользователя с привилегиями администратора, имеющего доступ к Advanced Shell (bash), эксплуатация этой уязвимости может привести к полной компрометации системы BIG-IP посредством удаленного выполнения кода. Подробности и рекомендации по устранению представлены в уведомлении компании F5.

Также для блокировки атак, в которых эксплуатируются такие уязвимости, как CVE-2020-5902 и CVE-2020-5903, компании могут использовать межсетевые экраны уровня приложений.

2016: BIG-IP 12.1

12 июля 2016 года F5 Networks объявила о выпуске релиза версии BIG-IP 12.1. ПО обеспечивает возможности для программирования в традиционном, облачном и гибридном окружении.

Технология iRules LX компании F5 дает возможность управлять и выборочно разворачивать функциональные возможности сервисов через Node.js, и поддерживает доступ к более 250 тыс. программных пакетов сообщества Node.js. Эти функциональные возможности необходимы при доставке расширенной функциональности для веб-приложений, которым требуется оптимизированная пропускная способность, высокая масштабируемость и сервисы управления потоками трафика. Встраиваемое расширение для интегрированной среды разработки (IDE) Eclipse, которая поддерживается другими разработчиками технологии корпоративного уровня (CA, Google, IBM, Oracle, Red Hat и SAP), обеспечивает оперативную доставку повторно используемого кода, что расширяет функциональность.

В программных продуктах версии 12.1 реализован ряд усовершенствований в области информационной безопасности:

• BIG-IP 12.1 усиливает защиту ведущих в отрасли веб-приложений с помощью решения BIG-IP Application Security Manager (ASM), которое включает уникальные и адаптируемые методики обнаружения ботов с детальным анализом и расширенным отслеживанием идентификаторов устройств.
• BIG-IP ASM ускоряет занесение в черный список вредоносных IP аппаратного обеспечения для угроз седьмого уровня, обеспечивая надежную защиту до того, как будут получены обновленные версии списков.
• Программные решения F5 обеспечивают контроль над соединениями HTML5 WebSocket для комплексной защиты политики, когда другие межсетевые экраны для веб-приложений не справляются.
• в составе BIG-IP Advanced Firewall Manager действуют расширенные функциональные возможности, которые в автоматическом режиме ограничивают поток атак уровней 3–7 и контролируют инициированные пользователями действия в канале SSH посредством разворачивания адаптированных политик.

2015: Вышла версия BIG-IP 12.0

1 сентября 2015 года F5 Networks объявила о выпуске 12 основной версии программного обеспечения, которое расширяет гибридную платформу сервисов F5 и значительно улучшает динамичность, безопасность и скорость работы облачных приложений.

ПО BIG-IP версии 12.0 использует преимущество коммутации сервисов доставки приложений F5, расширяя модель F5 Synthesis посредством объединения физических и виртуальных ресурсов для эффективной поддержки облачных и гибридных сценариев использования. Такой подход позволяет клиентам переносить рабочие нагрузки в облачные среды по мере необходимости и внедрять новые технологии, включая HTTP/2, сохраняя преимущества расширенного контроля и безопасности традиционных инфраструктур.

F5 поддерживает клиентов, развертывающих облачные и гибридные ИТ-архитектуры, с помощью решений BIG-IP Virtual Edition, которые стали доступны в Azure Marketplace. Все программные модули BIG-IP будут доступны на Azure в рамках модели лицензирования Good, Better, Best компании F5 в виде конфигурации BYOL (Bring Your Own License) с опциями 25 M, 200 M и 1 G.

Клиенты F5 и Microsoft получат дополнительные возможности для решения оптимизации технологий доставки приложений и облачных технологий в рамках одной унифицированной платформы. Кроме того, F5 предлагает дифференциацию скорости работы в Azure, включая поддержку VPN и маршрутизации (туннель IPsec) в облачных средах Microsoft.

В состав системы защиты приложений ПО BIG-IP версии 12.0 компании F5 включила множество изменений. Основные особенности:

• доступ ко всем типам ИТ-окружения с помощью SSO – F5 расширяет защищенные функции аутентификации, авторизации и учета для облачных, веб- и виртуальных приложений с централизованным управлением функций.
• защита от широкого спектра атак DDoS. С помощью BIG-IP 12.0 компания F5 предлагает самые полные и эффективные решения для защиты от DDoS-атак в локальных и облачных средах. F5 помогает компаниям усилить средства защиты и повысить динамичность работы с помощью упрощенных средств обнаружения атак.
• улучшенные функции SSL для комплексной защиты. Компании все более активно используют технологию SSL, шифруя практически все данные. BIG-IP предлагает инновационное, интегрированное SSL-шифрование для управления сертификатами безопасности и ключами для физических, виртуальных и облачных решений.