F5 Networks BIG-IP:旁路處理器弱點 (K91229003)

medium Nessus Plugin ID 118702

概要

遠端裝置缺少廠商提供的安全性修補程式。

說明

下列三項旁路攻擊公佈於 2018 年 1 月 3 日:

CVE-2017-5715 Spectre-BTB (之前稱為 Spectre Variant 2) 分支目標插入

具有可利用推測執行和間接分支預測之微處理器的系統可以允許透過旁路分析,向具有本機使用者存取權的攻擊者洩漏未經授權的資訊。

CVE-2017-5753 Spectre-PHT (之前稱為 Spectre Variant 1) 繞過邊界檢查:具有可利用推測執行和分支預測之微處理器的系統可以允許透過旁路分析,向具有本機使用者存取權的攻擊者洩漏未經授權的資訊。

CVE-2017-5754 Meltdown-US (之前稱為 Meltdown) 惡意載入快取資料:具有可利用推測執行和間接分支預測之微處理器的系統可以允許透過資料快取的旁路分析,向具有本機使用者存取權的攻擊者洩漏未經授權的資訊。

影響

F5 還在持續研究 Spectre 和 Meltdown 弱點對我們的產品所造成的影響。F5 致力於經過完整測試和驗證後盡速發布新版的修補程式。F5 會盡速以經證實的最新資訊來更新本文。

BIG-IP

的首要任務就是讓 BIG-IP 產品的資料平面不曝露任何弱點。曝露的所有弱點都僅限於控制平面 (又稱為管理平面)。

再者,若要利用控制平面上的弱點,必須身為四種經驗證的授權帳戶角色:管理員、資源管理員、管理者和 iRules 管理者。您必須獲得上述角色的系統存取權,才能利用這些弱點。

攻擊者必須能在 BIG-IP 平台上提供及執行自選的二進位程式碼,才能利用這三項弱點。

這三個條件嚴格限制了 BIG-IP 產品的曝險程度。

以單一租戶模式租用的產品 (如獨立的 BIG-IP 應用裝置) 而言,風險則僅限於經授權的本機使用者利用其中一項弱點來讀取平常他們所無法存取、超出他們權限之記憶體中的資訊。確切來說,單一租用戶模式的風險在於使用者可能會存取核心空間記憶體,而不僅限於他們自己的使用者空間。

在多租用戶環境 (如雲端、VE 和虛擬叢集式多重處理 (vCMP)) 下,亦有與單一租用戶環境相同的本機核心記憶體存取風險。此外,攻擊有可能跨多個客體,也就是管理程式/主機可能遭到攻擊。在雲端和 VE 環境下,防止這些新式攻擊影響管理程式/主機平台,因為這超出 F5 所能支援或修補的範圍。請聯絡您的雲端供應商或管理程式廠商,確保他們的平台或產品具備防禦 Spectre 和 Meltdown 攻擊的保護機制。

F5 認為理論上,雖然在 vCMP 環境下可能發生客體對客體或客體對主機的 Spectre-PHT 和 Meltdown-US 攻擊,但在 BIG-IP 環境下難以順利發動這些攻擊。vCMP 環境下的主要風險來自於 Spectre-BTB,但只有當 vCMP 客體設為使用單一核心時才會有此風險。若 vCMP 客體設為使用兩個或更多核心,則可排除 Spectre-BTB 弱點。

F5 與我們的硬體元件廠商攜手合作,致力於確定我們各種硬體平台版本的弱點範圍。我們目前掌握的所有資訊皆來自我們的廠商,已詳載於本「安全性公告」中。我們正在設法向廠商索取其餘資訊,並會在我們接獲我們硬體平台的相關資訊時,即時更新本安全性公告。

我們也會測試 Linux 社群所製作的修補程式。我們正在進行一項廣大的測試活動,目的在於鑑定這些修補程式對於系統效能和穩定性有何影響,藉此可盡量確保我們的客戶享有優良的使用體驗。我們不願意倉促行事,在尚未完整瞭解所有可能問題之前就發佈這些修補程式。如上所述,即使受影響的程度有限,基於這些修補程式的複雜度和我們及其他人所注意到的潛在問題,我們認為這些修補程式最好先經過仔細研究,貿然發佈修補程式可能會對系統穩定性造成影響,也可能大幅降低系統效能。我們會在修補程式的詳細研究結果出爐時即時更新本文。

若要確定每個弱點對各平台的影響以及各平台使用的處理器類型,請參閱下表。

注意:在下表中,有多種型號的平台機型只顯示一個型號作為代表。例如,BIG-IP 11000、BIG-IP 11050、BIG-IP 11050F 和 BIG-IP 11050N 等機型都容易遭到攻擊,在這份表格中統稱為「BIG-IP 110x0」。某些平台 (如 iSeries 平台) 可能使用多種廠商處理器,這些平台可能使用一或多種 Intel Core 處理器,而其中一或多個子系統可能使用容易遭到攻擊的 ARM 處理器。除非還存在其他執行程式碼的弱點,否則 F5 不認為攻擊者能進入這些子系統中的 ARM 處理器,但為慎重起見,仍必須提供相關資訊。

處理器機型容易受 CVE-2017-5753 影響 Spectre-PHT 容易受 CVE-2017-5715 影響 Spectre-BTB 容易受 CVE-2017-5754 影響 Meltdown-US VIPRION B21x0 Intel Y Y Y VIPRION B2250 Intel Y Y Y VIPRION B4100 AMD Y Y** N VIPRION B4200 AMD Y Y** N VIPRION B43x0 Intel Y Y Y VIPRION B44x0 Intel Y Y Y BIG-IP 800 Intel Y** N Y** BIG-IP 1600 Intel Y** N Y** BIG-IP 3600 Intel Y** N Y** BIG-IP 3900 Intel Y** N Y** BIG-IP2xx0 Intel Y Y Y BIG-IP4xx0 Intel Y Y Y BIG-IP5xx0 Intel Y Y Y BIG-IP7xx0 Intel Y Y Y BIG-IP10xx0 Intel Y Y Y BIG-IP12xx0 Intel Y Y Y BIG-IPi2x00 Intel, ARM Y Y Y BIG-IPi4x00 Intel, ARM Y Y Y BIG-IPi5x00 Intel, ARM Y Y Y BIG-IPi7x00 Intel, ARM Y Y Y BIG-IPi10x00 Intel, ARM Y Y Y BIG-IP6400 AMD Y Y** N BIG-IP6900 AMD Y Y** N BIG-IP89x0 AMD Y Y** N BIG-IP110x0 AMD Y Y** N

**我們已向 Intel 和 AMD 索取以上平台專用處理器的相關資訊,Intel 和 AMD 尚未做出回應。
因此,根據他們的公告並為了安全起見,F5 會將這些平台視為容易遭到攻擊。

注意:已達技術支援期限 (EoTS) 的平台機型將不予評估。如需詳細資訊,請參閱 :F5 平台生命週期支援原則。

BIG-IQ 和 Enterprise Manager

可以利用推測執行和間接分支預測的微處理器系統允許透過旁路分析,向具有本機使用者存取權的攻擊者洩漏未經授權的資訊。

若要確定每個弱點對各平台的影響以及各平台使用的處理器類型,請參閱下表。

處理器機型容易受 CVE-2017-5753 影響 Spectre-PHT 容易受 CVE-2017-5715 影響 Spectre-BTB 容易受 CVE-2017-5754 影響 Meltdown-US BIG-IQ 7000 Intel Y Y Y Enterprise Manager 4000 Intel Y** N Y**

**我們已向 Intel 索取以上平台專用處理器的相關資訊,Intel 尚未做出回應。因此,根據他們的公告並為了安全起見,F5 會將這些平台視為容易遭到攻擊。

注意:已達技術支援期限 (EoTS) 的平台機型將不予評估。如需詳細資訊,請參閱 :F5 平台生命週期支援原則。

Traffix

系統允許透過旁路分析,向具有本機使用者存取權的攻擊者洩漏未經授權的資訊。

LineRate

系統允許透過旁路分析,向具有本機使用者存取權的攻擊者洩漏未經授權的資訊。

下表中「已知容易遭到攻擊的版本」欄標示為「無」的產品,表示該產品不受此問題影響。

解決方案

升級至 F5 解決方案 K91229003 中列出的其中一個無弱點版本。

另請參閱

https://my.f5.com/manage/s/article/K91229003

Plugin 詳細資訊

嚴重性: Medium

ID: 118702

檔案名稱: f5_bigip_SOL91229003.nasl

版本: 1.6

類型: local

已發布: 2018/11/2

已更新: 2023/11/3

支援的感應器: Nessus

風險資訊

VPR

風險因素: High

分數: 8.4

CVSS v2

風險因素: Medium

基本分數: 4.7

時間分數: 4.1

媒介: CVSS2#AV:L/AC:M/Au:N/C:C/I:N/A:N

CVSS 評分資料來源: CVE-2017-5754

CVSS v3

風險因素: Medium

基本分數: 5.6

時間分數: 5.4

媒介: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N

時間媒介: CVSS:3.0/E:H/RL:O/RC:C

弱點資訊

CPE: cpe:/a:f5:big-ip_access_policy_manager, cpe:/a:f5:big-ip_advanced_firewall_manager, cpe:/a:f5:big-ip_application_acceleration_manager, cpe:/a:f5:big-ip_application_security_manager, cpe:/a:f5:big-ip_application_visibility_and_reporting, cpe:/a:f5:big-ip_domain_name_system, cpe:/a:f5:big-ip_global_traffic_manager, cpe:/a:f5:big-ip_local_traffic_manager, cpe:/h:f5:big-ip

必要的 KB 項目: Host/local_checks_enabled, Host/BIG-IP/hotfix, Host/BIG-IP/modules, Host/BIG-IP/version

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2018/1/3

弱點發布日期: 2018/1/4

可惡意利用

CANVAS (CANVAS)

參考資訊

CVE: CVE-2017-5715, CVE-2017-5753, CVE-2017-5754