e-Xpert Solutions Lausanne
Auteur : Gilliek
Date de publication : 25 mars 2022 - Dernière mise à jour : 25 mars 2022
La vulnérabilité CVE-2022-0778 de haute sévérité (CVSSv3 7.5) affectant OpenSSL impacte toutes les versions de BIG-IP. Celle-ci permet de causer un déni de service en fournissant, par exemple, à un Virtual Server (VS) un faux certificat avec de mauvais paramètres pour les courbes elliptiques. La vulnérabilité impacte donc tous les VS acceptant un certificat SSL client. En termes plus techniques, cela impacte tous les VS ayant un profil SSL avec l’option peer-cert-mode à require ou request.
Dans cet article, nous allons montrer comment gagner en visibilité sur cette vulnérabilité avec nos solutions “Analytics Tool for F5” et “Device Manager”.
Pour récupérer l’information, nous avons besoin d’exécuter 2 requêtes sur le F5. La première va récupérer la liste de tous les profils SSL. A partir de là, il suffit de ne garder que ceux qui sont vulnérables, ce que nous pouvons deviner grâce au champ peer-cert-mode. La seconde requête va, quant à elle, récupérer la liste de tous les virtual servers. Nous devons utiliser le paramètre “expandSubcollections=true” afin de récupérer la liste des profiles attachés à chaque virtual server. Cela nous évite d’exécuter une requête supplémentaire par virtual server et ainsi évite de charger inutilement le CPU du F5.
Une fois les 2 listes récupérées, il suffit de corréler les informations pour savoir exactement quels sont les virtual servers qui sont vulnérables.
Nous allons maintenant comment ces requêtes peuvent être implémentée dans chacune de nos solutions.
Pour gérer tout ça, nous passons par un iscript. Le code est disponible sur notre dépôt Github:
github.com/e-XpertSolutions/insight-resources/use-cases/CVE-2022-0778
Cet iscript doit être créé comme objet de type “Mappings” afin qu’il puisse être déclenché dans une search query. Cela est nécessaire afin de pouvoir créer un dashboard permettant de visualiser tout ça de façon claire:
A noter que ce dashboard est live, c’est-à-dire que les informations affichées représentent l’état du F5 au moment où le tableau s’affiche dans le dashboard.
Avec le Device Manager, l’idée est la même: nous allons passer par un iscript. Le code est également disponible sur notre dépôt Github:
github.com/e-XpertSolutions/devmgr-resources/iscript/CVE-2022-0778
L’idée cette fois est de déclencher le script via une tâche. Le Device Manager, ne possédant pas de capacité de visualisation, il va nous falloir générer un fichier CSV dans le menu “Hosted Content” qui contiendra la liste des virtual servers vulnérables.
La tâche va simplement appeler notre script:
Nous avons rendu cette tâche dynamique afin qu’elle puisse être configurée au moment de l’exécution par l’utilisateur:
Le formulaire va permettre de sélectionner le F5 pour lequel analyser la vulnérabilité des VS, voir même plusieurs F5 en une fois en passant un tag.
Une fois la tâche exécutée, il est possible de consulter le rapport CSV généré depuis la vue “Hosted Content”:
Nous avons vu ici 2 approches pour gagner en visibilité sur les vulnérabilités CVE-2022-0778 au niveau F5 BIG-IP. La première, à travers notre solution “Analytics Tool for F5” permet d’avoir un dashboard très visuel afin de pouvoir rapidement identifier les VS vulnérables. La seconde, avec notre solution “Device Manager” qui permet d’exporter un CSV voir efficacement quels sont les VS vulnérables.
Pour plus d’information, n’hésitez pas à nous contacter.
Pensez aussi à consulter nos autres use-cases pour « Analytics Tool for F5 » et “Device Manager”
Events
Archives