Genel Bakış
Shadowserver vakfı tarafından yapılan son araştırmalar, dünya genelinde 14.000'den fazla F5 BIG-IP APM (Access Policy Manager) örneğinin, kritik seviyedeki Uzaktan Kod Yürütme (RCE) zafiyetlerine karşı hala savunmasız olduğunu ortaya koymuştur. Bu zafiyet, saldırganların kimlik doğrulaması yapmadan sistem üzerinde komut çalıştırmasına olanak tanımaktadır. Bu makale, sistem yöneticilerinin bu zafiyeti nasıl tespit edeceğini ve sistemlerini nasıl koruma altına alacağını açıklamaktadır.
Risk Değerlendirmesi
Söz konusu zafiyet, saldırganların sistemin kontrolünü ele geçirmesine, hassas verileri sızdırmasına ve ağ içerisinde yatay hareket etmesine olanak tanır. İnternete açık olan tüm F5 BIG-IP cihazları, aktif saldırı girişimleri için birincil hedef konumundadır.
Çözüm Adımları
- Sürüm Kontrolü: İlk adım olarak, mevcut F5 BIG-IP sürümünüzün etkilenip etkilenmediğini kontrol edin.
- Yama Uygulama: F5 tarafından yayınlanan en güncel güvenlik yamalarını (Hotfix) uygulayın.
- Erişim Kısıtlaması: Yönetim arayüzüne (Management Interface) erişimi sadece güvenilir IP adresleri ile sınırlandırın.
Tespit ve Doğrulama Komutları
Sisteminizin sürümünü kontrol etmek için aşağıdaki komutu kullanabilirsiniz:
tmsh show sys versionYönetim arayüzüne erişimi kısıtlamak için 'Management IP' ayarlarını şu şekilde yapılandırın:
tmsh modify sys httpd allow replace-all-with { 192.168.1.0/24 }Uyarı: Yama işlemini gerçekleştirmeden önce mutlaka sistem yedeği alın ve canlı ortamda uygulamadan önce test ortamında doğrulayın.
İleri Düzey Önlemler
Sadece yama uygulamak yeterli olmayabilir. Ağ seviyesinde güvenlik duvarı kuralları ile 443 ve 8443 portlarına gelen trafiği inceleyin. Eğer cihazınız doğrudan internete açık olmak zorunda değilse, mutlaka bir VPN veya Zero Trust ağ erişim kontrolü arkasına alın.
Daha fazla bilgi için resmi F5 güvenlik bültenlerini takip etmeniz ve 'iHealth' platformu üzerinden cihaz sağlığınızı düzenli olarak denetlemeniz önerilir.
