首頁 > 安全研究 > 安全通報 > 安全通告

F5 BIG-IP & BIG-IQ 多個遠程代碼執行漏洞

發布時間 2021-03-11

0x00 漏洞概述

2021年03月10日,F5發布安全公告,公開了其BIG-IP和BIG-IQ中的多個安全漏洞,其中包括4個嚴重的RCE漏洞,經過身份驗證或未經驗證的攻擊者可以通過利用這些漏洞遠程執行代碼。

F5 BIG-IP是一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。F5 BIG-IQ是一套基于軟件的云管理解決方案,該方案支持客戶跨公共和私有云、傳統數據中心和混合環境部署應用交付和網絡服務。

 

0x01 漏洞詳情

image.png

F5 Networks是全球企業網絡設備的領先提供商,其BIG-IP產品的客戶包括政府、《財富》 500強公司、銀行、互聯網服務提供商以及Microsoft、Oracle、Facebook等大型企業,該公司表示,“財富50強中有48家依賴F5”。

本次F5公開的漏洞如下:

CVE

評級

評分

受影響產品

受影響版本

修復版本

設備模式/非設備模式

控制層面/數據層面

CVE-2021-22986

嚴重

9.8

BIG-IP   (All modules)

16.0.0-16.0.1
  15.1.0-15.1.2
  14.1.0-14.1.3.1
  13.1.0-13.1.3.5
  12.1.0-12.1.5.2

16.0.1.1
  15.1.2.1
  14.1.4
  13.1.3.6
  12.1.5.3

Both

Control   plane – iControl REST


BIG-IQ

7.1.0-7.1.0.2
  7.0.0-7.0.0.1
  6.0.0-6.1.0

8.0.0
  7.1.0.3
  7.0.0.2

N/A

Control   plane – iControl REST

CVE-2021-22987

嚴重

9.9

BIG-IP   (All modules)

16.0.0-16.0.1
  15.1.0-15.1.2
  14.1.0-14.1.3.1
  13.1.0-13.1.3.5
  12.1.0-12.1.5.2
  11.6.1-11.6.5.2

16.0.1.1
  15.1.2.1
  14.1.4
  13.1.3.6
  12.1.5.3
  11.6.5.3

Appliance   mode

Control   plane - TMUI

CVE-2021-22988

8.8

BIG-IP   (All Modules)

16.0.0-16.0.1
  15.1.0-15.1.2
  14.1.0-14.1.3.1
  13.1.0-13.1.3.5
  12.1.0-12.1.5.2
  11.6.1-11.6.5.2

16.0.1.1
  15.1.2.1
  14.1.4
  13.1.3.6
  12.1.5.3
  11.6.5.3

Non-Appliance   Mode

Control   plane - TMUI

CVE-2021-22989

8.0

BIG-IP   Advanced WAF/ASM

16.0.0-16.0.1
  15.1.0-15.1.2
  14.1.0-14.1.3.1
  13.1.0-13.1.3.5
  12.1.0-12.1.5.2
  11.6.1-11.6.5.2

16.0.1.1
  15.1.2.1
  14.1.4
  13.1.3.6
  12.1.5.3
  11.6.5.3

Appliance   mode

Control   plane - TMUI

CVE-2021-22990

6.6

BIG-IP   Advanced WAF/ASM

16.0.0-16.0.1
  15.1.0-15.1.2
  14.1.0-14.1.3.1
  13.1.0-13.1.3.5
  12.1.0-12.1.5.2
  11.6.1-11.6.5.2

16.0.1.1
  15.1.2.1
  14.1.4
  13.1.3.6
  12.1.5.3
  11.6.5.3

Non-Appliance   mode

Control   plane - TMUI

CVE-2021-22991

嚴重

9.0

BIG-IP   (All Modules)1

16.0.0-16.0.1
  15.1.0-15.1.2
  14.1.0-14.1.3.1
  13.1.0-13.1.3.5
  12.1.0-12.1.5.2

16.0.1.1
  15.1.2.1
  14.1.4
  13.1.3.6
  12.1.5.3

Both

Data   plane

CVE-2021-22992

嚴重

9.0

BIG-IP   Advanced WAF/ASM

16.0.0-16.0.1
  15.1.0-15.1.2
  14.1.0-14.1.3.1
  13.1.0-13.1.3.5
  12.1.0-12.1.5.2
  11.6.1-11.6.5.2

16.0.1.1
  15.1.2.1
  14.1.4
  13.1.3.6
  12.1.5.3
  11.6.5.3

Both

Data   plane

 

4個嚴重RCE漏洞詳情如下:

iControl REST遠程代碼執行漏洞(CVE-2021-22986)

該漏洞存在于iControl REST中,其CVSSv3評分為9.8。成功利用此漏洞的攻擊者可以通過BIG-IP管理接口和自帶IP地址未授權訪問iControl REST接口,以執行任意系統命令、創建或刪除文件、禁用服務等,最終導致系統被完全破壞。設備模式下的BIG-IP也存在此漏洞,但該漏洞只能通過控制層面利用,不能通過數據層面利用。

 

TMUI遠程命令執行漏洞(CVE-2021-22987)

在設備模式下運行時,流量管理用戶界面(TMUI)(也稱為配置實用程序)在未公開的頁面中存在經過身份驗證的遠程命令執行漏洞,其CVSSv3評分9.9。經過身份驗證的攻擊者可以通過BIG-IP管理端口或自身IP地址訪問TMUI,以執行任意系統命令、創建或刪除文件、禁用服務,最終導致系統完全受損并破壞設備模式,此漏洞只能通過控制層面利用,而不能通過數據層面利用。

 

TMM緩沖區溢出漏洞(CVE-2021-22991)

流量管理微內核(TMM)URI規范化可能會錯誤地處理對虛擬服務器的未公開請求,這可能會觸發緩沖區溢出,從而導致DoS攻擊。在某些情況下,該漏洞允許攻擊者繞過基于URL的訪問控制或遠程執行代碼,其CVSSv3評分9.0。

 

Advanced WAF/ASM緩沖區溢出漏洞(CVE-2021-22992)

在策略中配置了Login Page的Advanced WAF/ASM虛擬服務器在響應惡意HTTP時可能會觸發緩沖區溢出,其CVSSv3評分9.0。

攻擊者必須能夠控制后端網絡服務器(pool members),或者能夠操縱服務器端對虛擬服務器的HTTP響應,才能利用此漏洞。成功利用此漏洞的攻擊者可能會導致BIG-IP Advanced WAF/ASM系統遭到拒絕服務(DoS)攻擊,甚至可能在BIG-IP Advanced WAF/ASM系統上執行任意代碼。此漏洞只能通過數據層面利用,而不能通過控制層面利用。

 

 

0x02 處置建議

鑒于這些漏洞的嚴重性,建議盡快安裝修復版本。以下BIG-IP版本修復了本次公開的7個漏洞:

16.0.1.1、15.1.2.1、14.1.4、13.1.3.6、12.1.5.3和11.6.5.3。

此外,CVE-2021-22986漏洞也影響BIG-IQ,該漏洞已在8.0.0、7.1.0.3和7.0.0.2中修復。

下載鏈接:

https://support.f5.com/csp/article/K02566623

 

0x03 參考鏈接

https://support.f5.com/csp/article/K02566623

https://support.f5.com/csp/article/K18132488

https://www.bleepingcomputer.com/news/security/f5-urges-customers-to-patch-critical-big-ip-pre-auth-rce-bug/

 

0x04 時間線

2021-03-10  F5發布安全公告

2021-03-11  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

上一篇 下一篇