漏洞预警-F5 BIG-IP/IQ 多个高危漏洞

地球胖头鱼 2021-03-11
Web安全 发布于 2021-03-11 13:45:31 阅读 134 评论 0

基本信息

  • 风险等级: 高危

  • 漏洞类型: 远程代码执行,缓冲区溢出

  • 漏洞利用: 暂无

  • 漏洞编号:CVE-2021-22986,CVE-2021-22987,CVE-2021-22988,CVE-2021-22989,CVE-2021-22990,CVE-2021-22991,CVE-2021-22992

漏洞描述

近日,监测到F5官方发布安全通告,安全更新包含了影响F5的BIG-IP,BIG-IQ设备的多个高危漏洞,漏洞编号分别为CVE-2021-22986,CVE-2021-22987,CVE-2021-22988,CVE-2021-22989,CVE-2021-22990,CVE-2021-22991,CVE-2021-22992。F5官方已发布上述漏洞的安全更新,建议受影响用户尽快升级到安全版本。漏洞详情:

CVE-2021-22986 | iControl REST 未授权远程代码执行漏洞

此漏洞允许未经身份验证的攻击者通过BIG-IP管理界面和self ip 对iControl REST接口进行网络访问,以执行任意系统命令,创建或删除文件以及禁用服务。设备模式下的BIG-IP系统也容易受到攻击。

CVE-2021-22987 | 流量管理用户界面(TMUI)授权远程代码执行漏洞

在设备模式下运行时,具有流量管理界面(TMUI)访问权限的远程攻击者可以通过BIG-IP管理端口或者self ip地址对TMUI界面进行网络访问,以执行任意系统命令,创建或删除文件或禁用服务。

CVE-2021-22988 | 流量管理用户界面(TMUI)授权远程代码执行漏洞

具有流量管理用户界面TMUI访问权限的远程攻击者可以通过BIG-IP管理端口或者self ip地址对TMUI界面进行网络访问,以执行任意系统命令,创建或删除文件或禁用服务。

CVE-2021-22989 | 高级WAF / ASM TMUI 授权远程命令执行漏洞

设备模式下,此漏洞允许具有管理员,资源管理员或应用程序安全管理员角色的高特权身份验证用户通过BIG-IP管理端口或self IP地址对配置实用程序进行网络访问,以执行任意系统命令,创建或删除文件,或禁用服务。

CVE-2021-22990 | 高级WAF / ASM TMUI授权的远程命令执行漏洞**

此漏洞允许具有管理员,资源管理员或应用程序安全管理员角色的高特权身份验证用户通过BIG-IP管理端口或self IP地址对配置实用程序进行网络访问,以执行任意系统命令,创建或删除文件,或禁用服务。

CVE-2021-22991 | TMM 缓冲区溢出漏洞

流量管理微内核(TMM)URI错误地处理对virtual server(虚拟服务器)的未公开请求,将会触发缓冲区溢出,从而导致DoS攻击。在某些情况下,理论上可以允许绕过基于URL的访问控制或远程代码执行(RCE)。

CVE-2021-22992 | 高级WAF / ASM缓冲区溢出漏洞

策略中配置了“登录页面”的高级WAF / ASM 虚拟服务器的恶意HTTP响应可能会触发缓冲区溢出,从而导致DoS攻击。在某些情况下,允许远程执行代码(RCE),该漏洞需要攻击者具有对后端Web服务器(pool)的控制权,或具有操纵虚拟服务器的服务器端HTTP响应以利用此漏洞的能力。

影响版本

CVE-2021-22986

  • BIG-IP 16.0.0-16.0.1
  • BIG-IP 15.1.0-15.1.2
  • BIG-IP 14.1.0-14.1.3.1
  • BIG-IP 13.1.0-13.1.3.5
  • BIG-IP 12.1.0-12.1.5.2
  • BIG-IQ 7.1.0-7.1.0.2
  • BIG-IQ 7.0.0-7.0.0.1
  • BIG-IQ 6.0.0-6.1.0

CVE-2021-22987,CVE-2021-22988,CVE-2021-22989,CVE-2021-22990,CVE-2021-22991,CVE-2021-2299

  • BIG-IP 16.0.0-16.0.1
  • BIG-IP 15.1.0-15.1.2
  • BIG-IP 14.1.0-14.1.3.1
  • BIG-IP 13.1.0-13.1.3.5
  • BIG-IP 12.1.0-12.1.5.2
  • BIG-IP 11.6.1-11.6.5.2

影响范围

F5 BIG-IP,F5 BIG-IQ

修复建议

临时修复建议

若业务环境允许,使用白名单限制web端口的访问来降低风险。

通用修复建

F5官方已经发布了解决上述漏洞的安全更新,建议受影响用户尽快升级到上述修复漏洞安全版本。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!