F5紧急修复严重的 BIG-IP 预认证 RCE 漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

全球顶级企业网络设备巨头 F5 Networks 发现影响多数 BIG-IP 和 BIG-IP软件版本的四个严重的远程代码执行 (RCE) 漏洞。

F5 BIG-IP 软件和硬件客户包括政府部门、全球财富500强公司、银行、互联网服务提供商和客户品牌（如微软、Oracle 和 Facebook）。该公司声称，“全球财富50强公司中有48家都在使用 F5 产品“。

这四个 RCE 漏洞包括一个预认证 RCE 缺陷 (CVE-2021-22986)，可导致未认证远程攻击者在失陷的 BIG-IP设备上执行任意命令。

• iControl REST 未认证远程命令执行漏洞 (CVE-2021-22986)：iControl REST 接口中存在一个未认证的远程命令执行漏洞，CVSS 评分为9.8（“严重“）。

• Appliance Mode TMUI 认证远程命令执行漏洞 (CVE-2021-22987)：以 Appliance 模式运行时，流量管理用户接口 (TMUI) 即 Configuration 工具在未披露页面中存在一个经认证的远程命令执行漏洞。CVSS 评分为9.9（“严重“）。

• TMM 缓冲区溢出漏洞 (CVE-2021-22991)：“流量管理微内核 (TMM)” URI 标准化可能不正确地处理了虚拟服务器未披露请求，可能触发缓冲区溢出，从而造成 DoS 攻击。在某些情况下，从理论上可以导致基于 URL 的访问控制遭绕过或者远程代码执行后果。CVSS 评分9.0（”严重“）。

• 高级WAF/ASM 缓冲区溢出漏洞 (CVE-2021-22992)：策略中配置了 Login Page 的高级 WAF/BIG-IP ASM 虚拟服务器的恶意 HTTP 响应可能触发缓冲区溢出漏洞，从而导致 DoS 攻击。在某种情况下，它可能导致远程代码执行，从而最终导致完整的系统攻陷。CVSS 评分9.0（“严重“）。

另外，F5 公司今天还发布了关于其它三个 RCE 漏洞（两个高危一个中危，CVSS 得分介于6.6至8.8），可使已认证的远程攻击者执行任意系统命令。

这些严重的 BIG-IP RCE 漏洞如遭利用，可导致系统完全受陷，包括控制器应用流量拦截和横向移动到内部网络。

F5 表示，这7个漏洞已经在如下 BIG-IP 版本中修复：16.0.1.1、15.1.2.1、14.1.4、13.1.3.6、12.1.5.3以及11.6.5.3。

预认证 RCE 缺陷 (CVE-2021-22986) 还影响 BIG-IQ（BIG-IP 设备的管理解决方案），且已经在8.0.0、7.1.0.3和7.0.0.2 中修复。

F5 在今天发布的通知中指出，“我们强烈建议所有客户尽快将 BIG-IP 和 BIG-IQ 系统更新至已修复版本。”F5 已发布 BIG-IP 升级指南。

曾被国家黑客利用

2020年7月，F5修复了一个 CVSS 评分为10分的严重的 RCE 漏洞 (CVE-2020-5902)，影响 BIG-IP ADC 设备的流量管理用户接口 (TMUI)。和今天披露的预认证 RCE 漏洞类似，CVE-2020-5902 可导致未认证攻击者运行任意系统命令。

Dragos 公司的安全研究员在去年9月表示，受伊朗支持的 Pioneer Kitten 黑客组织开始攻击在2020年7月初之后仍未修复的 BIG-IP 设备。该公司的发现和FBI私营行业通知一致，后者警告称伊朗国家黑客自2020年7月初就试图利用易受攻击的 BIG-IP ADC 设备。

未修复 F5 BIG-IP ADC 的企业面临更多来自受经济利益驱动的威胁组织的风险，这些威胁者可能还会在失陷网络上部署勒索软件并窃取访问其它网络设备的凭据。

F5 的更新指南：https://support.f5.com/csp/article/K84205182

推荐阅读

速修复！严重的F5 BIG-IP 漏洞 PoC 已发布

F5 以6.7亿美金收购 NGINX

参考链接

https://www.bleepingcomputer.com/news/security/f5-urges-customers-to-patch-critical-big-ip-pre-auth-rce-bug/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~