F5 BIG-IP/BIG-IQ 高危漏洞風險提示
漏洞公告
2021年3月10日,F5官方發布了3月安全更新公告,修復了包含了F5 BIG -IP、BIG -IQ iControl REST遠程命令執行漏洞等多個高危漏洞,漏洞對應CVE編號包括:CVE-2021-22986、CVE-2021-22987、2021-22988、CVE-2021-22989、CVE-2021-22990、CVE-2021-22991、CVE-2021-22992等,相關鏈接參考:
根據公告,此次更新修復了F5 BIG-IP、BIG-IQ iControl REST未經身份驗證的遠程命令執行漏洞、F5 BIG-IP后臺的遠程命令執行漏洞和緩沖區溢出漏洞。未經身份驗證的攻擊者可通過構造惡意的請求利用CVE-2021-22986漏洞入侵受影響的F5系統,建議盡快安裝安全更新補丁或采取臨時緩解措施加固系統。
一 影響范圍
BIG-IP/ BIG-IQ iControl REST遠程命令執行漏洞(CVE-2021-22986)影響范圍,相關參考:https://support.f5.com/csp/article/K03009991
F5 BIG-IP 16.0.0-16.0.1 安全版本:16.0.1.1
F5 BIG-IP 15.1.0-15.1.2 安全版本:15.1.2.1
F5 BIG-IP 14.1.0-14.1.3.1 安全版本:14.1.4
F5 BIG-IP 13.1.0-13.1.3.5 安全版本:13.1.3.6
F5 BIG-IP 12.1.0-12.1.5.2 安全版本:12.1.5.3
F5 BIG-IQ 7.1.0-7.1.0.2 安全版本:8.0.0
F5 BIG-IQ 7.0.0-7.0.0.1 安全版本:7.1.0.3
F5 BIG-IQ 6.0.0-6.1.0 安全版本:7.0.0.2
BIG-IP TMUI 后臺遠程代碼執行漏洞(CVE-2021-22987、CVE-2021-22988)、Advanced WAF/ASM TMUI 后臺遠程代碼執行漏洞(CVE-2021-22989、CVE-2021-22990)、Advanced WAF/ASM緩沖區溢出漏洞(CVE-2021-22992)影響范圍:
F5 BIG-IP 16.0.0-16.0.1 安全版本:16.0.1.1
F5 BIG-IP 15.1.0-15.1.2 安全版本:15.1.2.1
F5 BIG-IP 14.1.0-14.1.3.1 安全版本:14.1.4
F5 BIG-IP 13.1.0-13.1.3.5 安全版本:13.1.3.6
F5 BIG-IP 12.1.0-12.1.5.2 安全版本:12.1.5.3
F5 BIG-IP 11.6.1-11.6.5.2 安全版本:11.6.5.3
TMM緩沖區溢出漏洞(CVE-2021-22991)影響范圍:
F5 BIG-IP 16.0.0-16.0.1 安全版本:16.0.1.1
F5 BIG-IP 15.1.0-15.1.2 安全版本:15.1.2.1
F5 BIG-IP 14.1.0-14.1.3.1 安全版本:14.1.4
F5 BIG-IP 13.1.0-13.1.3.5 安全版本:13.1.3.6
F5 BIG-IP 12.1.0-12.1.5.2 安全版本:12.1.5.3
通過安恒 SUMAP 平臺對全球部署的F5 BIG-IP進行統計,最新查詢分布情況如下:
全球分布:
國內分布:
二 漏洞描述
根據分析,CVE-2021-22986,為遠程命令執行漏洞,此漏洞允許未經身份驗證的攻擊者通過BIG-IP管理界面和自身IP地址對iControl REST接口進行網絡訪問,可執行任意系統命令;
CVE-2021-22987、CVE-2021-22988,為遠程命令執行漏洞,流量管理用戶界面(TMUI)未公開的頁面中存在遠程命令執行漏洞,前提條件需要經身份驗證才能利用此漏洞;
CVE-2021-22989、CVE-2021-22990,為遠程命令執行漏洞,在配置了高級WAF或ASM的設備模式下運行時,流量管理用戶界面(TMUI)未公開的頁面中存在遠程命令執行漏洞,前提條件需要經身份驗證才能利用此漏洞;
CVE-2021-22991,為緩沖區溢出漏洞,F5 BIG-IP因流量管理微內核(TMM)URI規范化錯誤地處理對虛擬服務器的請求,導致緩沖區溢出造成遠程代碼執行或拒絕服務;
CVE-2021-22992,為緩沖區溢出漏洞,當F5 BIG-IP在策略中配置了高級WAF或ASM的設備模式下運行時,攻擊者可構造惡意的HTTP請求觸發緩沖區溢出,從而造成遠程代碼執行或拒絕服務。
三 緩解措施
高危:目前F5 BIG-IP、BIG -IQ漏洞細節已經部分公開,惡意攻擊者也可以通過補丁對比方式分析出漏洞觸發點,并進一步開發漏洞利用代碼,目前安恒應急響應中心已監測到疑似攻擊代碼流出,建議及時測試安全更新補丁并應用安裝和完善威脅識別、漏洞緩解措施。
處置:
1、及時升級F5 BIG-IP / BIG-IQ 升級至安全版本
2、配置訪問控制策略,僅允許白名的IP訪問F5管理界面。
原創: 安恒信息應急響應中心
原文鏈接:https://mp.weixin.qq.com/s/_ket64iXUlV0Ald...
