首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】F5 8月多個安全漏洞

發布時間 2021-08-26

0x00 漏洞概述

2021年8月24日,F5發布安全更新,修復了其BIG-IP等產品中的29個安全漏洞。這些漏洞包括經過身份驗證的遠程命令執行、XSS、CSRF、SSRF和拒絕服務等。

 

0x01 漏洞詳情

image.png

本次修復的高危漏洞為13個,除CVE-2021-23031之外,其它漏洞的CVSS評分范圍為7.2-7.5,5個漏洞影響了 WAF 和 ASM,1個漏洞影響了 DNS 模塊。

其中包括一個在特定條件下被利用時評級為嚴重的漏洞,該漏洞的CVE編號為CVE-2021-23031,是 BIG-IP Web 應用防火墻 (WAF) 和應用安全管理器 (ASM) 流量管理用戶界面 (TMUI) 上的權限提升漏洞。該漏洞的CVSS評分為8.8,經過身份驗證且具有配置實用程序訪問權限的攻擊者可以利用此漏洞來提升權限,最終可以執行任意系統命令、創建或刪除任意文件、禁用服務等。但如果應用了設備模式,該漏洞的CVSS評分將提升為9.9。

F5本次發布的安全更新中的13個高危漏洞及其影響范圍、修復版本如下:

CVE ID

嚴重性

CVSS評分

受影響產品

受影響版本

修復版本

CVE-2021-23025

7.2

BIG-IP(所有模塊)

15.0.0 - 15.1.0
  14.1.0 - 14.1.3
  13.1.0 - 13.1.3
  12.1.0 - 12.1.6
  11.6.1 - 11.6.5

16.0.0
  15.1.0.5
  14.1.3.1
  13.1.3.5

CVE-2021-23026

7.5

BIG-IP(所有模塊)

16.0.0 - 16.0.1
  15.1.0 - 15.1.2
  14.1.0 - 14.1.4
  13.1.0 - 13.1.4

12.1.0 - 12.1.6
  11.6.1 - 11.6.5

16.1.0
  16.0.1.2
  15.1.3
  14.1.4.2
  13.1.4.1

BIG-IQ

8.0.0 - 8.1.0 
  7.0.0 - 7.1.0
  6.0.0 - 6.1.0

CVE-2021-23027

7.5

BIG-IP(所有模塊)

16.0.0 - 16.0.1
  15.1.0 - 15.1.2
  14.1.0 - 14.1.4

16.1.0
  16.0.1.2
  15.1.3.1
  14.1.4.3

CVE-2021-23028

7.5

BIG-IP(WAF、ASM)

16.0.1
  15.1.1 - 15.1.3
  14.1.3.1 - 14.1.4.1
  13.1.3.5 - 13.1.3.6

16.1.0
  16.0.1.2
  15.1.3.1
  14.1.4.2
  13.1.4

CVE-2021-23029

7.5

BIG-IP(WAF、ASM)

16.0.0 - 16.0.1

16.1.0
  16.0.1.2

CVE-2021-23030

7.5

BIG-IP(WAF、ASM)

16.0.0 - 16.0.1
  15.1.0 - 15.1.3
  14.1.0 - 14.1.4
  13.1.0 - 13.1.4

12.1.0 - 12.1.6

16.1.0
  16.0.1.2
  15.1.3.1
  14.1.4.3
  13.1.4.1

CVE-2021-23031

高/嚴重 ( 僅設備模式)

8.8/

9.9 

BIG-IP(WAF、ASM)

16.0.0 - 16.0.1
  15.1.0 - 15.1.2
  14.1.0 - 14.1.4
  13.1.0 - 13.1.3
  12.1.0 - 12.1.5
  11.6.1 - 11.6.5

16.1.0
  16.0.1.2
  15.1.3
  14.1.4.1
  13.1.4
  12.1.6
  11.6.5.3

CVE-2021-23032

7.5

BIG-IP (DNS)

16.0.0 - 16.0.1

15.1.0 - 15.1.3

14.1.0 - 14.1.4

13.1.0 - 13.1.4

12.1.0 - 12.1.6

16.1.0 
  15.1.3.1
  14.1.4.4

CVE-2021-23033

7.5

BIG-IP(WAF、ASM)

16.0.0 - 16.0.1

15.1.0 - 15.1.3

14.1.0 - 14.1.4

13.1.0 - 13.1.4

12.1.0 - 12.1.6

16.1.0
  15.1.3.1
  14.1.4.3
  13.1.4.1

CVE-2021-23034

7.5

BIG-IP

16.0.0 - 16.0.1
  15.1.0 - 15.1.3

16.1.0 
  15.1.3.1

CVE-2021-23035

7.5

BIG-IP

14.1.0 - 14.1.4

14.1.4.4

CVE-2021-23036

7.5

BIG-IP(WAF、ASM、DataSafe)

16.0.0 - 16.0.1

16.1.0
  16.0.1.2

CVE-2021-23037

7.5

BIG-IP

16.0.0 - 16.1.0

15.1.0 - 15.1.3

14.1.0 - 14.1.4

13.1.0 - 13.1.4

12.1.0 - 12.1.6

11.6.1 - 11.6.5

 

此外,F5還修復了其BIG-IP等產品中的其它16個中危和低危漏洞,這些漏洞的CVSS評分范圍為3.7-6.8,攻擊者可以利用這些漏洞執行XSS攻擊、SQL注入、訪問任意文件等。

 

0x02 處置建議

目前這些漏洞已在部分版本中修復,F5 建議客戶將 BIG-IP 設備至少更新或升級到 BIG-IP 14.1.0,將 BIG-IP VE 至少更新或升級到 BIG-IP 15.1.0,建議參考官方公告及時升級更新。

下載鏈接:

https://support.f5.com/csp/article/K50974556

 

0x03 參考鏈接

https://support.f5.com/csp/article/K50974556

https://www.bleepingcomputer.com/news/security/critical-f5-big-ip-bug-impacts-customers-in-sensitive-sectors/

https://securityaffairs.co/wordpress/121454/security/f5-big-ip-critical-flaw.html?

 

0x04 更新版本

版本

日期

修改內容

V1.0

2021-08-26

首次發布

 

0x05 文檔附錄

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

NVD:nvd.nist.gov

CVSS:www.first.org

0x06 關于我們

關注以下公眾號,獲取更多資訊:

image.png

 

 

上一篇 下一篇