GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

F5 BIG-IP & BIG-IQ 多个远程代码执行缝隙

颁布功夫 2021-03-11

0x00 缝隙概述

2021年03月10日，F5颁布安全布告，公开了其BIG-IP和BIG-IQ中的多个安全缝隙，其中蕴含4个严沉的RCE缝隙，经过身份验证或未经验证的攻击者能够通过利用这些缝隙远程执行代码。

F5 BIG-IP是一款集成了网络流量治理、利用法式安全治理、负载平衡等职能的利用交付平台。F5 BIG-IQ是一套基于软件的云治理解决规划，该规划支持客户跨公共和私有云、传统数据中心和混合环境部署利用交付和网络服务。

0x01 缝隙详情

F5 Networks是全球企业网络设备确当先提供商，其BIG-IP产品的客户蕴含当局、《财富》 500强公司、银杏注互联网服务提供商以及Microsoft、Oracle、Facebook等大型企业，该公司暗示，“财富50强中有48家依赖F5”。

本次F5公开的缝隙如下：

CVE	评级	评分	受影响产品	受影响版本	建复版本	设备模式/非设备模式	节造层面/数据层面
CVE-2021-22986	严沉	9.8	BIG-IP (All modules)	16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13.1.0-13.1.3.5 12.1.0-12.1.5.2	16.0.1.1 15.1.2.1 14.1.4 13.1.3.6 12.1.5.3	Both	Control plane – iControl REST
	严沉	9.8	BIG-IQ	7.1.0-7.1.0.2 7.0.0-7.0.0.1 6.0.0-6.1.0	8.0.0 7.1.0.3 7.0.0.2	N/A	Control plane – iControl REST
CVE-2021-22987	严沉	9.9	BIG-IP (All modules)	16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13.1.0-13.1.3.5 12.1.0-12.1.5.2 11.6.1-11.6.5.2	16.0.1.1 15.1.2.1 14.1.4 13.1.3.6 12.1.5.3 11.6.5.3	Appliance mode	Control plane - TMUI
CVE-2021-22988	高	8.8	BIG-IP (All Modules)	16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13.1.0-13.1.3.5 12.1.0-12.1.5.2 11.6.1-11.6.5.2	16.0.1.1 15.1.2.1 14.1.4 13.1.3.6 12.1.5.3 11.6.5.3	Non-Appliance Mode	Control plane - TMUI
CVE-2021-22989	高	8.0	BIG-IP Advanced WAF/ASM	16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13.1.0-13.1.3.5 12.1.0-12.1.5.2 11.6.1-11.6.5.2	16.0.1.1 15.1.2.1 14.1.4 13.1.3.6 12.1.5.3 11.6.5.3	Appliance mode	Control plane - TMUI
CVE-2021-22990	中	6.6	BIG-IP Advanced WAF/ASM	16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13.1.0-13.1.3.5 12.1.0-12.1.5.2 11.6.1-11.6.5.2	16.0.1.1 15.1.2.1 14.1.4 13.1.3.6 12.1.5.3 11.6.5.3	Non-Appliance mode	Control plane - TMUI
CVE-2021-22991	严沉	9.0	BIG-IP (All Modules)¹	16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13.1.0-13.1.3.5 12.1.0-12.1.5.2	16.0.1.1 15.1.2.1 14.1.4 13.1.3.6 12.1.5.3	Both	Data plane
CVE-2021-22992	严沉	9.0	BIG-IP Advanced WAF/ASM	16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13.1.0-13.1.3.5 12.1.0-12.1.5.2 11.6.1-11.6.5.2	16.0.1.1 15.1.2.1 14.1.4 13.1.3.6 12.1.5.3 11.6.5.3	Both	Data plane

4个严沉RCE缝隙详情如下：

iControl REST远程代码执行缝隙（CVE-2021-22986）

该缝隙存在于iControl REST中，其CVSSv3评分为9.8。成功利用此缝隙的攻击者能够通过BIG-IP治理接口和自带IP地址未授权接见iControl REST接口，以执行肆意系统号令、创建或删除文件、禁用服务等，最终导致系统被齐全粉碎。设备模式下的BIG-IP也存在此缝隙，但该缝隙只能通过节造层面利用，不能通过数据层面利用。

TMUI远程号令执行缝隙（CVE-2021-22987）

在设备模式下运行时，流量治理用户界面（TMUI）（也称为配置实用法式）在未公开的页面中存在经过身份验证的远程号令执行缝隙，其CVSSv3评分9.9。经过身份验证的攻击者能够通过BIG-IP治理端口或自身IP地址接见TMUI，以执行肆意系统号令、创建或删除文件、禁用服务，最终导致系统齐全受损并粉碎设备模式，此缝隙只能通过节造层面利用，而不能通过数据层面利用。

TMM缓冲区溢露马脚（CVE-2021-22991）

流量治理微内核（TMM）URI规范化可能会谬误地处置对虚构服务器的未公开要求，这可能会触发缓冲区溢出，从而导致DoS攻击。在某些情况下，该缝隙允许攻击者绕过基于URL的接见节造或远程执行代码，其CVSSv3评分9.0。

Advanced WAF/ASM缓冲区溢露马脚（CVE-2021-22992）

在战术中配置了Login Page的Advanced WAF/ASM虚构服务器在响应恶意HTTP时可能会触发缓冲区溢出，其CVSSv3评分9.0。

攻击者必须可能节造后端网络服务器（pool members），或者可能把持服务器端对虚构服务器的HTTP响应，能力利用此缝隙。成功利用此缝隙的攻击者可能会导致BIG-IP Advanced WAF/ASM系统遭到回绝服务（DoS）攻击，甚至可能在BIG-IP Advanced WAF/ASM系统上执行肆意代码。此缝隙只能通过数据层面利用，而不能通过节造层面利用。

0x02 措置建议

鉴于这些缝隙的严沉性，建议尽快装置建复版本。以下BIG-IP版本建复了本次公开的7个缝隙：

16.0.1.1、15.1.2.1、14.1.4、13.1.3.6、12.1.5.3和11.6.5.3。

此表，CVE-2021-22986缝隙也影响BIG-IQ，该缝隙已在8.0.0、7.1.0.3和7.0.0.2中建复。

下载链接：

https://support.f5.com/csp/article/K02566623

0x03 参考链接

https://support.f5.com/csp/article/K02566623

https://support.f5.com/csp/article/K18132488

https://www.bleepingcomputer.com/news/security/f5-urges-customers-to-patch-critical-big-ip-pre-auth-rce-bug/

0x04 功夫线

2021-03-10 F5颁布安全布告

2021-03-11 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】