BIG-IP SSL sårbarhet

Publisert: 22.11.2017

NorCERT ønsker å informere om en SSL sårbarhet i F5 BIG-IP [1].

Det er i de tilfeller funksjonen for "virtuell server" (BIG-IP-
sjargong) benyttes at sårbarheten kan utnyttes.

Dette betyr at både installasjoner som kjører på "stål" (fysiske 
installasjoner) og virtualiserte installasjoner kan være sårbare.

Hvis sårbarheten blir utnyttet kan det resultere i at angriperen får 
tilgang på ukrypterte meldinger og/eller gjennomføre et Man-In-The-Middle 
angrep, selv om angriperen ikke har tilgang til serverens private nøkkel.

CVE: CVE-2017-6168
CVSS: 9.1

Sårbare produkter:

+------------------------+------------------------------------------+
| Produkter              | Sårbare versjoner                        |
+========================+==========================================+
| BIG-IP LTM             | 11.6.0 - 11.6.2, 12.0.0 - 12.1.2, 13.0.0 |
+------------------------+------------------------------------------+
| BIG-IP AAM             | 11.6.0 - 11.6.2, 12.0.0 - 12.1.2, 13.0.0 |
+------------------------+------------------------------------------+
| BIG-IP AFM             | 11.6.0 - 11.6.2, 12.0.0 - 12.1.2, 13.0.0 |
+------------------------+------------------------------------------+
| BIG-IP Analytics       | 11.6.0 - 11.6.2, 12.0.0 - 12.1.2, 13.0.0 |
+------------------------+------------------------------------------+
| BIG-IP APM             | 11.6.0 - 11.6.2, 12.0.0 - 12.1.2, 13.0.0 |
+------------------------+------------------------------------------+
| BIG-IP ASM             | 11.6.0 - 11.6.2, 12.0.0 - 12.1.2, 13.0.0 |
+------------------------+------------------------------------------+
| BIG-IP DNS             | 12.0.0 - 12.1.2, 13.0.0                  |
+------------------------+------------------------------------------+
| BIG-IP GTM             | 11.6.0 - 11.6.2                          |
+------------------------+------------------------------------------+
| BIG-IP Link Controller | 11.6.0 - 11.6.2, 12.0.0 - 12.1.2, 13.0.0 |
+------------------------+------------------------------------------+
| BIG-IP PEM             | 11.6.0 - 11.6.2, 12.0.0 - 12.1.2, 13.0.0 |
+------------------------+------------------------------------------+
| F5 WebSafe             | 11.6.0 - 11.6.2, 12.0.0 - 12.1.2, 13.0.0 |
+------------------------+------------------------------------------+


Anbefalinger:
NorCERT anbefaler å oppdatere til en ikke-sårbar versjon.

Hvis oppdatering ikke er en mulighet anbefaler F5 følgende mitigeringer:
- - Slå av RSA nøkkelutveksling i klient SSL profil.
- - Sette ned timeout for klient SSL handshake.
- - Sette hastighetsbegrensning for iRule.


Detaljer:
[1] https://support.f5.com/csp/article/K21905460