F5 BIG-IP & BIG-IQ 多个远程代码执行误差-尊龙凯时

首页 > 清静研究 > 清静转达 > 清静通告

F5 BIG-IP & BIG-IQ 多个远程代码执行误差

宣布时间 2021-03-11

0x00 误差概述

2021年03月10日，F5宣布清静通告，果真了其BIG-IP和BIG-IQ中的多个清静误差，其中包括4个严重的RCE误差，经由身份验证或未履历证的攻击者可以通过使用这些误差远程执行代码。

F5 BIG-IP是一款集成了网络流量治理、应用程序清静治理、负载平衡等功效的应用交付平台。F5 BIG-IQ是一套基于软件的云治明确决计划，该计划支持客户跨公共和私有云、古板数据中心和混淆情形安排应用交付和网络服务。

0x01 误差详情

F5 Networks是全球企业网络装备的领先提供商，其BIG-IP产品的客户包括政府、《财产》 500强公司、银行、互联网服务提供商以及Microsoft、Oracle、Facebook等大型企业，该公司体现，“财产50强中有48家依赖F5”。

本次F5果真的误差如下：

CVE	评级	评分	受影响产品	受影响版本	修复版本	装备模式/非装备模式	控制层面/数据层面
CVE-2021-22986	严重	9.8	BIG-IP (All modules)	16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13.1.0-13.1.3.5 12.1.0-12.1.5.2	16.0.1.1 15.1.2.1 14.1.4 13.1.3.6 12.1.5.3	Both	Control plane – iControl REST
	严重	9.8	BIG-IQ	7.1.0-7.1.0.2 7.0.0-7.0.0.1 6.0.0-6.1.0	8.0.0 7.1.0.3 7.0.0.2	N/A	Control plane – iControl REST
CVE-2021-22987	严重	9.9	BIG-IP (All modules)	16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13.1.0-13.1.3.5 12.1.0-12.1.5.2 11.6.1-11.6.5.2	16.0.1.1 15.1.2.1 14.1.4 13.1.3.6 12.1.5.3 11.6.5.3	Appliance mode	Control plane - TMUI
CVE-2021-22988	高	8.8	BIG-IP (All Modules)	16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13.1.0-13.1.3.5 12.1.0-12.1.5.2 11.6.1-11.6.5.2	16.0.1.1 15.1.2.1 14.1.4 13.1.3.6 12.1.5.3 11.6.5.3	Non-Appliance Mode	Control plane - TMUI
CVE-2021-22989	高	8.0	BIG-IP Advanced WAF/ASM	16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13.1.0-13.1.3.5 12.1.0-12.1.5.2 11.6.1-11.6.5.2	16.0.1.1 15.1.2.1 14.1.4 13.1.3.6 12.1.5.3 11.6.5.3	Appliance mode	Control plane - TMUI
CVE-2021-22990	中	6.6	BIG-IP Advanced WAF/ASM	16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13.1.0-13.1.3.5 12.1.0-12.1.5.2 11.6.1-11.6.5.2	16.0.1.1 15.1.2.1 14.1.4 13.1.3.6 12.1.5.3 11.6.5.3	Non-Appliance mode	Control plane - TMUI
CVE-2021-22991	严重	9.0	BIG-IP (All Modules)¹	16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13.1.0-13.1.3.5 12.1.0-12.1.5.2	16.0.1.1 15.1.2.1 14.1.4 13.1.3.6 12.1.5.3	Both	Data plane
CVE-2021-22992	严重	9.0	BIG-IP Advanced WAF/ASM	16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13.1.0-13.1.3.5 12.1.0-12.1.5.2 11.6.1-11.6.5.2	16.0.1.1 15.1.2.1 14.1.4 13.1.3.6 12.1.5.3 11.6.5.3	Both	Data plane

4个严重RCE误差详情如下：

iControl REST远程代码执行误差（CVE-2021-22986）

该误差保存于iControl REST中，其CVSSv3评分为9.8。乐成使用此误差的攻击者可以通过BIG-IP治理接口和自带IP地点未授权会见iControl REST接口，以执行恣意系统下令、建设或删除文件、禁用服务等，最终导致系统被完全破损。装备模式下的BIG-IP也保存此误差，但该误差只能通过控制层面使用，不可通过数据层面使用。

TMUI远程下令执行误差（CVE-2021-22987）

在装备模式下运行时，流量治理用户界面（TMUI）（也称为设置适用程序）在未果真的页面中保存经由身份验证的远程下令执行误差，其CVSSv3评分9.9。经由身份验证的攻击者可以通过BIG-IP治理端口或自身IP地点会见TMUI，以执行恣意系统下令、建设或删除文件、禁用服务，最终导致系统完全受损并破损装备模式，此误差只能通过控制层面使用，而不可通过数据层面使用。

TMM缓冲区溢出误差（CVE-2021-22991）

流量治理微内核（TMM）URI规范化可能会过失地处置惩罚对虚拟服务器的未果真请求，这可能会触发缓冲区溢出，从而导致DoS攻击。在某些情形下，该误差允许攻击者绕过基于URL的会见控制或远程执行代码，其CVSSv3评分9.0。

Advanced WAF/ASM缓冲区溢出误差（CVE-2021-22992）

在战略中设置了Login Page的Advanced WAF/ASM虚拟服务器在响应恶意HTTP时可能会触发缓冲区溢出，其CVSSv3评分9.0。

攻击者必需能够控制后端网络服务器（pool members），或者能够使用服务器端对虚拟服务器的HTTP响应，才华使用此误差。乐成使用此误差的攻击者可能会导致BIG-IP Advanced WAF/ASM系统遭到拒绝服务（DoS）攻击，甚至可能在BIG-IP Advanced WAF/ASM系统上执行恣意代码。此误差只能通过数据层面使用，而不可通过控制层面使用。

0x02 处置惩罚建议

鉴于这些误差的严重性，建议尽快装置修复版本。以下BIG-IP版本修复了本次果真的7个误差：

16.0.1.1、15.1.2.1、14.1.4、13.1.3.6、12.1.5.3和11.6.5.3。

别的，CVE-2021-22986误差也影响BIG-IQ，该误差已在8.0.0、7.1.0.3和7.0.0.2中修复。

下载链接：

https://support.f5.com/csp/article/K02566623

0x03 参考链接

https://support.f5.com/csp/article/K02566623

https://support.f5.com/csp/article/K18132488

https://www.bleepingcomputer.com/news/security/f5-urges-customers-to-patch-critical-big-ip-pre-auth-rce-bug/

0x04 时间线

2021-03-10 F5宣布清静通告

2021-03-11 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系

清静研究