upgrade
2 TopicsUsing BIG-IQ to Address the CVE-2020-5902 Vulnerability
As you’re probably already aware, a critical vulnerability was recently discovered within the BIG-IP Traffic Management User Interface (TMUI). In a nutshell, TMUI—sometimes known as the Configuration Utility—has a Remote Code Execution (RCE) vulnerability that can result in a complete system compromise through the ability to: Execute system commands Create or delete files Disable services Execute arbitrary Java code The most critical cases involve BIG-IP systems whose management port and/or self IPs are exposed to the open internet. In these cases, it’s best to assume a breach/compromise scenario and respond accordingly—refer to your organization’s incident response plan. However, even those BIG-IPs that aren’t internet-facing and running in Appliance mode, are still vulnerable.In short, this is an issue that all BIG-IP customers need to address immediately. Fixing the problem F5 has released several resources to help our customers who’ve been affected by this issue. We recommend getting started here on AskF5. In addition to the resources highlighted in the AskF5 article, our DevCentral team has facilitated some video resources and curated answers to the many questions we have received.The first link provides a matrix that outlines which versions of BIG-IP were affected by the vulnerability. To eliminate this issue completely, the recommended course of action is to update/install a new, fixed version of BIG-IP—these fixed versions are listed in the same matrix. If updates cannot be performed quickly, there are other mitigation techniques that can be employed that are listed on the AskF5 article. Leveraging BIG-IQ A couple of the strategies highlighted in the resources above center around BIG-IQ, F5’s powerful solution for unified visibility and management of BIG-IP. BIG-IQ can be especially useful in the context of addressing the CVE-2020-5902 vulnerability as it makes the management of many BIG-IPs much easier and programmatic. With BIG-IQ’s single UI, you can employ two effective CVE-2020-5902 mitigation strategies: Running a bash script on BIG-IQ managed devices Upgrading/updating managed devices to new BIG-IP software versions The bash approach For those that aren’t ready for a full upgrade of their affected BIG-IPs, leveraging a script that mitigates the vulnerability—at least until such time that a highly recommended upgrade can be performed—is a good strategy. BIG-IQ makes this process simple. You can find the script referenced in the video on github - https://github.com/usrlocalbins/Big-IQ-scripts. The upgrade/update approach As we mentioned before, the recommended method is to update your BIG-IP software to a “fixed” version. Beyond CVE-2020-5902, running updated/upgraded versions of software is good practice as it ensures you: Get the latest features and capabilities Are protected from identified threats, vulnerabilities, and bad actors Remain in compliance Are eligible for support and expert help Keep maintenance costs down Sidestep compatibility issues with legacy software The process for updating managed (many) BIG-IPs with BIG-IQ is very straightforward and greatly reduces the time, effort, and manual errors associated with a piecemeal BIG-IP upgrade approach—especially for those with large BIG-IP portfolios. Further Reading To learn more about upgrading your BIG-IPs via BIG-IQ visit the Knowledge Center on AskF5 . Want to learn more about BIG-IQ? You can find more resources—including a no-install demo—at f5.com/bigiq608Views2likes0CommentsWarum es wichtig ist, Betriebssysteme Up to Date zu halten
Upgraden oder nicht upgraden – das ist die Frage. Jeder IT-Administrator weiß, dass ein Upgrade von Infrastruktur-Elementen keine triviale Angelegenheit ist. Die Aufgabe verschlingt Zeit, erfordert Planung, bedeutet Überstunden und schlägt manchmal auf den Geschäftsbetrieb durch. Und wohl jeder hat schon erlebt, wie sich ein „Upgrade“ am Ende als „Downgrade“ für die täglich benötigte Funktionalität entpuppt hat. Aber da Softwarefehler, aufgedeckte Schwachstellen und erhöhter Leistungsbedarf weiterhin die Business-IT beeinflussen, wirft das Auslassen von Upgrades mehr Probleme denn je auf. In früheren Zeiten haben sich Unternehmen manchmal wenig Gedanken darum gemacht, hier und da eine Runde im Updateprozess zu überspringen. Heute müssen sie bei jeder anstehenden Aufrüstung sorgfältig die Kosten abwägen, die entweder durch das Upgrade entstehen – oder gerade dadurch, es zu ignorieren. Diese Berechnungen müssen angestellt werden, auch wenn sie genau wissen, dass sie nur selten alle Folgekosten vorab einschätzen können. Man darf ergänzen, dass das Auslassen von Upgrades generell wohl selten oder besser nie ein Weg ist, der zu mehr Innovationen und Geschäftserfolg führt. Viele Anbieter von Netzwerk-Equipment entwickeln neue Softwarefunktionen, um ihre Produkte voranzutreiben. Dabei haben sie meist mehrere der folgenden Aspekte im Blick, um die bestmöglichen Releases zu liefern: Innovative neue oder verbesserte Funktionen Unterstützung für neue oder weiterentwickelte Protokolle Integration von Third-Party-Lösungen Die Systemsicherheit Funktionsanfragen, kunden- oder branchenspezifisch Bei F5 engagieren sich das Produktmanagement und die Entwickler immer wieder extrem, wenn neue BIG-IP-Software-Releases geplant werden , denn sie müssen dem Kundenbedarf in Sachen Infrastruktur und den Anforderungen der Applikationen gerecht werden, während gleichzeitig die Sicherheit an erster Stelle steht. Das Ausbalancieren von Innovation und Integration mit Sicherheitsanforderungen hat sich aufgrund des kontinuierlichen Anstiegs von Hacking-Aktivitäten und Cyber-Angriffen zur unumgänglichen Vorbedingung aller Arbeiten am Produkt entwickelt. Dabei steigt die Komplexität noch dadurch, dass Kunden oder bestimmte Branchen Modifikationen oder spezielle Versionen von Produkten anfragen, die ihren Bedarf passgenauer erfüllen sollen. Diese „Requests for Enhancement“ (RFE) sind wichtig, um Wünsche von Kunden oder aus besonderen Marksegmenten erfüllen zu können. BIG-IP v12.1 – warum upgraden? Am 19. Mai hat F5 BIG-IP v12.1 herausgebracht. Diese neue Softwareversion macht die Entscheidung, ob man upgraden soll, recht einfach. Erstens ist die Version 12.1 ein gehärtetes, auf einen langen Wartungszeitraum ausgelegtes Release, auf dessen Support und Versorgung mit Hot Fixes sich Organisationen für die nächsten fünf Jahre verlassen können. Zweitens bringt die Version bedeutende neue Funktionen mit, die Unternehmen den Weg in die Zukunft ebnen. In den folgenden Abschnitten finden Sie eine Auswahl neuer Fähigkeiten von BIG-IP v12.1, die wichtig sind, um die Innovation in der IT voranzutreiben: BIG-IP Core BIG-IP v12.1 umfasst eine aktualisierte Applikation für Local Traffic Policies, die Ihnen das Management des Netzwerkverkehrs erleichtert. „Local Traffic Policies“ bei BIG-IP sind einfache, priorisierte Listen von Regeln, auf deren Basis definierte Bedingungen durchgesetzt und spezifische Aktionen ausgeführt werden, um ihren Traffic in die gewünschten Bahnen zu lenken. F5 hat die Local Traffic Policies hinsichtlich Performance und einfacher Anwendung optimiert. Ein weiterer guter Grund für das Upgrade ist die erweiterte Programmierbarkeit von Core Services, die durch iRules LX unterstützt werden. Mit BIG-IP v12.1 macht F5 den Einsatz von Node.js-Packages (250.000 Libraries) in Verbindung mit TCL (Tool Command Language) möglich. JavaScript-Programmierer können somit iRules LX dazu nutzen, erprobte und wiederverwendbare Node.js-Libraries zu integrieren. Das Ergebnis sind neue, höchst wirkungsvolle Methoden, Traffic zu manipulieren und zu dirigieren. Public und Private Cloud BIG-IP v12.1 baut außerdem in signifikantem Maße darauf, dass F5 die Integration von Public Clouds unterstützt. Die F5-Web-Application-Firewall-(WAF-) Funktionen unterstützen nun die Zusammenarbeit mit dem Microsoft Azure Security Center, das Ziel ist hierbei, kritische Business-Anwendungen schneller installieren und schützen zu können. Ferner wurde die Unterstützung der Amazon Web Services erweitert, um mit Stateful Failover und VE-Auto-Scaling höhere Zuverlässigkeit und Skalierbarkeit bieten zu können. Ein weiterer Aspekt der Cloud-Integration ist ein erweiterter OpenStack-Support. BIG-IP v12.1 ermöglicht OpenStack-gestützte Orchestrierung durch LBaaS-Plug-Ins, Heat-Orchestration-Templates und Integration der Lösungen zertifizierter Partner. Die OpenStack-Integration ist die Basis für höhere Agilität und geringere Vorlaufzeiten aufgrund eines automatisierten Deployments von umfassenden L4-L7 App-Services. Sicherheit Der BIG-IP Application Security Manager (ASM) von F5 stellt WAF-Funktionen zur Verfügung und wurde um zwei einzigartige Fähigkeiten ergänzt. Er bietet nun Analysefunktionen und Schutz für WebSocket-gestützte Streaming-Data-Feeds, um Datendiebstähle und Angriffe abzuwehren. F5 ist der erste und einzige WAF-Anbieter, der einen starken Schutz für Web-Socket-Flows bieten kann. Die zweite Verbesserung ist eine tiefer ansetzende Identifikation und intensiveres Tracking von Geräten im Netzwerk, von denen Angriffe ausgehen. ASM spürt eindeutige Footprints von Client-Apps über mehrfache Requests auf, um besseren Schutz gegen Bedrohungen wie Web Scraping, volumetrisches L7DoS und Brute-Force-Login zu bieten. Diese Fähigkeit zum intensiveren Device-Tracking steigert außerdem die Session Awareness und hilft beim Policy-Builder-Trust-Scoring. Darüber hinaus unterstützt sie auf einzigartige Weise die Prävention von Session Hijacking. Keine andere WAF-Lösung hat ein derart ausgereiftes Device-ID-Tracking zu bieten, das einem für schädliche Zwecke gekaperten Server oder Device während einer Attacke folgt. Der BIG-IP Advanced Firewall Manager (AFM) von F5 wurde ebenfalls um einige einzigartige Services weiterentwickelt. Hinzugekommen ist ein SSH Channel Proxy, der Zugriffe über Backdoors verhindern soll. Administratoren können den AFM auf einfache Weise so konfigurieren, dass er SSH-Proxy-Filter-Kommandos ausführt und Requests auf der Basis von User-Kennung oder Gruppenzugehörigkeit blockiert oder zulässt. Somit schützt AFM vor nicht authorisierten Zugriffen auf Systeme und Ressourcen und verhindert die Verbreitung von Malware im Rechenzentrum. Eine weitere Ergänzung im AFM ist eine Reduzierung der Angriffsfläche mit einer Schutzfunktion gegen Applikationen, die auf immer neue Ports ausweichen – so wie Instant Messaging, P2P und Programme, die nicht zugelassene Netzwerk-Tunnel nutzen. Die weiter verbesserten Fähigkeiten des AFM unterscheiden, welche Layer-7-Protokolle für welche Zielports zugelassen sind. Außerdem überwacht das System die Port-Nutzung und weist auf notwendige Aktionen hin, wenn ein Missbrauch von Ports festgestellt wird. AFM erzeugt weniger Overhead als Produkte des Mitbewerbs und ist leicht zu konfigurieren – er setzt dazu auf eine Port-Missbrauchs-Policy, die sich an Sicherheitsrichtlinien koppelt, welche die zu erwartenden Layer-7-Protokolle definieren. AFM erkennt auf dieser Basis Unstimmigkeiten und Logging-/Dropping-Diskrepanzen. Der im AFM integrierte DDoS-Schutz wurde in Version 12.1 ebenfalls ausgebaut. DDoS-Einstellungen lassen sich einfacher und mit größerer Genauigkeit vornehmen, außerdem steht jetzt Auto-Learning von DDoS-Schwellenwerten auf der Basis von globalen DoS-Vektoren zur Verfügung. Die Einstellung der Schwellenwerte orientiert sich an historischen, über einen längeren Zeitraum ermittelten Traffic-Mustern, die auch nach einem Reboot noch zur Verfügung stehen. Um das Upgrade auf BIG-IP v12.1 und zukünftige Releases zu erleichtern, hat F5 den BIG-IP Upgrade Advisor entwickelt. Dieses Tool wurde dazu entworfen, potenzielle Probleme zu ermitteln, die BIG-IP-Upgrades beeinflussen könnten – das hilft Administratoren zu entscheiden, wann und wie sie ihre Aufrüstungen vornehmen. Der Upgrade Advisor stützt sich auf BIG-IP iHealth-Daten und liefert den IT-Teams Hinweise, die die aktuelle Softwareversion und die geplante Upgrade-Version jedes spezifischen BIG-IP-Systems berücksichtigen. Upgrade Advisor ist eine sich kontinuierlich weiterentwickelnde Anwendung – wenn Sie eine Analyse starten, werden Sie deshalb wahrnehmen, dass sich die Ergebnisse mit der Zeit verändern, wenn das System immer weitere Informationen erhebt. Die Applikation baut eine umfangreiche Wissensbasis auf, die kommende Upgrades noch leichter macht, denn das System kann mögliche Problemquellen mit der Zeit immer besser lokalisieren. Am Ende des Tages lautet die Frage also nicht mehr: „Upgraden oder nicht?“, sondern eher: „Innovativ sein oder nicht“. Netzwerk-Infrastruktur, die nicht auf der Höhe der Zeit ist, kann Innovation in einer Organisation ersticken. Wenn Sie mehr über das BIG-IP-release v12.1, die Verbesserungen der F5-Security-Applikations-Module und iRules LX herausfinden möchten, finden Sie weitere Informationen hier: F5 DevCentral: https://devcentral.f5.com/s/ F5 Support: https://support.f5.com/kb/en-us.html338Views0likes1Comment