慢慢赚钱博客

9月 26 2014

Bash高危安全漏洞对F5设备的影响及处理解决办法

F5建议解决方 案

       如果用户的F5设备存在权限分级管理的情况,低级用户可以利用这个漏洞获得更高的管理权限,这是唯一的漏洞应用场景。如果用户只用管理员权限并在内网安全区内维护F5设备,将不会导致风险。

http://f5.com/shellshock

影响版本

Product Versions known to be vulnerable Versions known to be not vulnerable Vulnerable component or feature
BIG-IP LTM 11.0.0 - 11.6.0
10.0.0 - 10.2.4
None Bash shell
BIG-IP AAM 11.4.0 - 11.6.0 None Bash shell
BIG-IP AFM 11.3.0 - 11.6.0 None Bash shell
BIG-IP Analytics 11.0.0 - 11.6.0 None Bash shell
BIG-IP APM 11.0.0 - 11.6.0
10.1.0 - 10.2.4
None Bash shell
BIG-IP ASM 11.0.0 - 11.6.0
10.0.0 - 10.2.4
None Bash shell
BIG-IP Edge Gateway 11.0.0 - 11.3.0
10.1.0 - 10.2.4
None Bash shell
BIG-IP GTM 11.0.0 - 11.6.0
10.0.0 - 10.2.4
None Bash shell
BIG-IP Link Controller 11.0.0 - 11.6.0
10.0.0 - 10.2.4
None Bash shell
BIG-IP PEM 11.3.0 - 11.6.0 None Bash shell
BIG-IP PSM 11.0.0 - 11.4.1
10.0.0 - 10.2.4
None Bash shell
BIG-IP WebAccelerator 11.0.0 - 11.3.0
10.0.0 - 10.2.4
None Bash shell
BIG-IP WOM 11.0.0 - 11.3.0
10.0.0 - 10.2.4
None Bash shell
ARX 6.0.0 - 6.4.0 None Bash shell
Enterprise Manager ** ** **
FirePass None 7.0.0
6.0.0 - 6.1.0
None
BIG-IQ Cloud ** ** **
BIG-IQ Device ** ** **
BIG-IQ Security ** ** **
LineRate None 2.4.0 - 2.4.1
2.3.0 - 2.3.1
2.2.0 - 2.2.4
1.6.0 - 1.6.3
None

 

使用iRules缓解Shellshock

以下iRules可以保护部署在F5设备后的系统免受此类攻击的影响。

https://devcentral.f5.com/articles/shellshock-mitigation-with-big-ip-irules

Block-Shellshocked

when HTTP_REQUEST {

set pattern "*(*)*\{*";

if { [string match $pattern [HTTP::uri]] } {

log local0. "Detected CVE-2014-6271 attack from '[IP::client_addr]' in URI '[HTTP::uri]'";

reject;

} else {

foreach header_name [HTTP::header names] {

foreach header_value [HTTP::header values $header_name] {

if { [string match $pattern $header_value] } {

log local0. "Detected CVE-2014-6271 attack from '[IP::client_addr]' in HTTP Header $header_name = '$header_value'; URI = '[HTTP::uri]'";

reject;

break;

}

}

}

}

}

Block-Shellshock-full

when HTTP_REQUEST {

if { [string match "*(*)*\{*" [HTTP::request]] } {

log local0. "Detected CVE-2014-6271 attack from '[IP::client_addr]' in HTTP Header $header_name = '$header_value'; URI = '[HTTP::uri]'";

reject;

}

}

其它技术细节请于SE联系。

Bash高危安全漏洞介绍

Bash是Linux用户广泛使用的一款用于控制命令提示符工具,这个最新被披露的bash漏洞代号为Bash bug或Shellshock。当用户正常访问时,只要shell是唤醒状态,这个漏洞就允许攻击者执行任意代码命令,并且已经在企业级软件中存在好长时间。

Bash漏洞的严重级别为“10”。它与“心脏出血”漏洞不同,“心脏出血”只能借助窃取用户电脑信息,而bash 漏洞允许黑客远程控制电脑,拿到系统最高权限!其方法利用就更简单了——复制/粘贴一行命令代码即可!

Redhat官方提供检测方式

运行命令:

env x='() { :;}; echo vulnerable'  bash -c "echo this is a test"

如果返回如下内容,则请尽快升级。

vulnerable

this is a test

Bash高危安全漏洞对F5设备的影响及处理解决办法

Written by moneyslow.com

moneyslow.com真棒!