F5 BIG-IP/BIG-IQ 高危漏洞风险提示
漏洞公告
2021年3月10日,F5官方发布了3月安全更新公告,修复了包含了F5 BIG -IP、BIG -IQ iControl REST远程命令执行漏洞等多个高危漏洞,漏洞对应CVE编号包括:CVE-2021-22986、CVE-2021-22987、2021-22988、CVE-2021-22989、CVE-2021-22990、CVE-2021-22991、CVE-2021-22992等,相关链接参考:
根据公告,此次更新修复了F5 BIG-IP、BIG-IQ iControl REST未经身份验证的远程命令执行漏洞、F5 BIG-IP后台的远程命令执行漏洞和缓冲区溢出漏洞。未经身份验证的攻击者可通过构造恶意的请求利用CVE-2021-22986漏洞入侵受影响的F5系统,建议尽快安装安全更新补丁或采取临时缓解措施加固系统。
一 影响范围
BIG-IP/ BIG-IQ iControl REST远程命令执行漏洞(CVE-2021-22986)影响范围,相关参考:https://support.f5.com/csp/article/K03009991
F5 BIG-IP 16.0.0-16.0.1 安全版本:16.0.1.1
F5 BIG-IP 15.1.0-15.1.2 安全版本:15.1.2.1
F5 BIG-IP 14.1.0-14.1.3.1 安全版本:14.1.4
F5 BIG-IP 13.1.0-13.1.3.5 安全版本:13.1.3.6
F5 BIG-IP 12.1.0-12.1.5.2 安全版本:12.1.5.3
F5 BIG-IQ 7.1.0-7.1.0.2 安全版本:8.0.0
F5 BIG-IQ 7.0.0-7.0.0.1 安全版本:7.1.0.3
F5 BIG-IQ 6.0.0-6.1.0 安全版本:7.0.0.2
BIG-IP TMUI 后台远程代码执行漏洞(CVE-2021-22987、CVE-2021-22988)、Advanced WAF/ASM TMUI 后台远程代码执行漏洞(CVE-2021-22989、CVE-2021-22990)、Advanced WAF/ASM缓冲区溢出漏洞(CVE-2021-22992)影响范围:
F5 BIG-IP 16.0.0-16.0.1 安全版本:16.0.1.1
F5 BIG-IP 15.1.0-15.1.2 安全版本:15.1.2.1
F5 BIG-IP 14.1.0-14.1.3.1 安全版本:14.1.4
F5 BIG-IP 13.1.0-13.1.3.5 安全版本:13.1.3.6
F5 BIG-IP 12.1.0-12.1.5.2 安全版本:12.1.5.3
F5 BIG-IP 11.6.1-11.6.5.2 安全版本:11.6.5.3
TMM缓冲区溢出漏洞(CVE-2021-22991)影响范围:
F5 BIG-IP 16.0.0-16.0.1 安全版本:16.0.1.1
F5 BIG-IP 15.1.0-15.1.2 安全版本:15.1.2.1
F5 BIG-IP 14.1.0-14.1.3.1 安全版本:14.1.4
F5 BIG-IP 13.1.0-13.1.3.5 安全版本:13.1.3.6
F5 BIG-IP 12.1.0-12.1.5.2 安全版本:12.1.5.3
通过安恒 SUMAP 平台对全球部署的F5 BIG-IP进行统计,最新查询分布情况如下:
全球分布:
国内分布:
二 漏洞描述
根据分析,CVE-2021-22986,为远程命令执行漏洞,此漏洞允许未经身份验证的攻击者通过BIG-IP管理界面和自身IP地址对iControl REST接口进行网络访问,可执行任意系统命令;
CVE-2021-22987、CVE-2021-22988,为远程命令执行漏洞,流量管理用户界面(TMUI)未公开的页面中存在远程命令执行漏洞,前提条件需要经身份验证才能利用此漏洞;
CVE-2021-22989、CVE-2021-22990,为远程命令执行漏洞,在配置了高级WAF或ASM的设备模式下运行时,流量管理用户界面(TMUI)未公开的页面中存在远程命令执行漏洞,前提条件需要经身份验证才能利用此漏洞;
CVE-2021-22991,为缓冲区溢出漏洞,F5 BIG-IP因流量管理微内核(TMM)URI规范化错误地处理对虚拟服务器的请求,导致缓冲区溢出造成远程代码执行或拒绝服务;
CVE-2021-22992,为缓冲区溢出漏洞,当F5 BIG-IP在策略中配置了高级WAF或ASM的设备模式下运行时,攻击者可构造恶意的HTTP请求触发缓冲区溢出,从而造成远程代码执行或拒绝服务。
三 缓解措施
高危:目前F5 BIG-IP、BIG -IQ漏洞细节已经部分公开,恶意攻击者也可以通过补丁对比方式分析出漏洞触发点,并进一步开发漏洞利用代码,目前安恒应急响应中心已监测到疑似攻击代码流出,建议及时测试安全更新补丁并应用安装和完善威胁识别、漏洞缓解措施。
处置:
1、及时升级F5 BIG-IP / BIG-IQ 升级至安全版本
2、配置访问控制策略,仅允许白名的IP访问F5管理界面。
原创: 安恒信息应急响应中心
原文链接:https://mp.weixin.qq.com/s/_ket64iXUlV0Ald...
