News

F5 TMUI RCE vulnerability alert

F5 မှ BIG-IP product များရဲ့ management user interface (TMUI) မှာ အရေးကြီးတဲ့ အားနည်းချက် (vulnerability) ရှာဖွေတွေ့ရှိခဲ့သောကြောင့် update တွေနဲ့ မြန်မြန် patch လုပ်ဖို့ July လ (၁) ရက်နေ့မှစတင်ပြီး တိုက်တွန်းထားပါတယ်။ update ချက်ချင်းမလုပ်သေးနိုင်‌လျှင် configuration ကို F5 မှအကြံပေးထားတဲ့အတိုင်း ပြုပြင်ဖို့ လည်း နိုးဆော်ထားပါတယ်။

အဆိုပါ vulnerability ကို CVE-2020-5902 လို့ရည်ညွှန်းထားပြီး CVSS score အမှတ် ၁၀ ဖြင့် အမြင့်ဆုံးသတ်မှတ်ထားပါတယ်။ အဲဒီ vulnerability ကို အသုံးချပြီး မိမိရဲ့ BIG-IP ကို username/password သိစရာတောင်မလိုဘဲ ပြင်ပမှ ထိန်းချုပ်လို့ရတဲ့ command တွေ ကို F5 ရဲ့ Management UI ကတဆင့် run ပြီး exploit လုပ်နိုင်ပါတယ်  (Remote Code Execution – RCE)။

Management UI ကို Management IP တို့၊ Port Lockdown ကို မကန့်သတ်ထားတဲ့ Self-IP တွေကနေပြီး access လုပ်သွားနိုင်ပါတယ်။ အထူးသဖြင့် Public internet သို့မဟုတ် မယုံကြည်ရတဲ့ untrusted network တွေမှ access လုပ်လို့ရရင် exploit အလုပ်ခံရဖို့ အခွင့်အလမ်းပိုများတဲ့အတွက် ဂရုအရမ်းပြုဖို့ ‌အရေးကြီးပါတယ်။

မသက်ဆိုင်တဲ့သူတွေ access ရသွားရင် မိမိရဲ့ system တစ်ခုလုံးကို ထိန်းချုပ်နိုင်သွားပါမယ်။ ဥပမာ – F5 system ဖြင့်ပတ်သတ်တဲ့ command တွေ run သွားခြင်း၊ log file တွေ config တွေ certificate တွေကို ယူကြည့်ခြင်းများ ပြုလုပ်သွားနိုင်ပါတယ်။ မလိုလားအပ်တဲ့ program တွေ လည်း run သွားနိုင်ပါတယ်။

ဒီ vulnerability ဟာ F5 ရဲ့ product တိုင်းနီးပါးနဲ့ version အများစုပေါ်မှာ သက်ရောက်မှုရှိပါတယ်။

အဆိုပါ vulnerability အကြောင်း၊ သက်ရောက်မှုရှိတဲ့ product နဲ့ version များနှင့် ကာကွယ်ရမယ့်နည့်လမ်းတွေကို F5 ရဲ့ support page မှာအသေးစိပ်ကြည့်နိုင်ပါတယ်။

 https://support.f5.com/csp/article/K52145254

ကာကွယ်ဖို့ အကောင်းဆုံးနည်းကတော့ upgrade လုပ်ခြင်းဖြစ်ပြီး

အောက်ပါ version တွေမှာ fixed လုပ်ပြီးဖြစ်လို့ အဲဒီမတိုင်ခင် version တွေက vulnerable ဖြစ်ပါတယ်။

• 15.1.0.4
• 14.1.2.6
• 13.1.3.4
• 12.1.5.2
• 11.6.5.2

တကယ်လို့ Products တွေရဲ့ version တွေကို ယခုချက်ချင်း upgrade လုပ်ရမှာ အခက်အခဲရှိနေရင် အပေါ်က ပေးထားတဲ့ link မှာ ပါနေတဲ့ page မှာပဲ F5 ရဲ့ mitigation အကြံပေးချက်တွေကို ဖတ်နိုင်ပါတယ်။ ယေဘုယျအားဖြင့်တော့

• Management UI ကို access လာလုပ်တဲ့ request များကိုထိန်းချုပ်ခြင်း
• Self-IP များကို လာရောက်ချိတ်ဆက်ခြင်းများကို  ပိတ်ဆီးထားခြင်း
• Management interface/IP ကို လာရောက်ချိတ်ဆက်ခြင်းများကို ကန့်သတ်ခြင်း တို့ပဲဖြစ်ပါတယ်။

NEX4 ICT Solutions အနေနဲ့ကတော့ F5 product တွေကို အသုံးပြုထားတဲ့ NEX4 Client တွေရဲ့ Infrastructure တွေ Business service တွေနဲ့ပက်သက်ပြီး လုံခြုံမှုရရှိစေဖို့ အချိန်နဲ့တပြေးညီ လိုအပ်တဲ့အချက်အလက်များကို အကြောင်းကြားပေးနေပါတယ်။ အဆိုပါ vulnerability နဲ့ပတ်သက်ပြီး Client တွေ aware ဖြစ်စေဖို့ email, phone တို့ကနေတဆင့် July လ ပထမအပတ်ကစပြီး အသိပေးအကြောင်းကြားပေးခဲ့ပါတယ်။ NEX4 Premium Support ကို ရယူအသုံးပြုလျက်ရှိတဲ့ Client တွေကိုလည်း လိုအပ်တဲ့ version upgrade ပြုလုပ်ခြင်း နဲ့ mitigation အတွက် အကောင်းဆုံး ဝန်ဆောင်မှုတွေကိုပေးလျက် ရှိပါတယ်။