F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。BIG-IP产品家族融合了硬件设备、模块化软件、以及虚拟化设备使F5 TMOS操作系统运行其中,一台BIG-IP设备均可添加一个或多个软件模块。F5 BIG-IQ是一套基于软件的云管理解决方案。该方案支持跨公共和私有云、传统数据中心和混合环境部署应用交付和网络服务。
近日,深信服安全团队监测到F5公布了四个严重的漏洞、两个高危漏洞和一个中危漏洞:
1、CVE-2021-22986 iControl REST 未授权远程命令执行漏洞
漏洞危害:严重。iControl REST界面具有未经身份验证的远程命令执行漏洞。
2、CVE-2021-22987 Appliance Mode TMUI授权远程命令执行漏洞
漏洞危害:严重。在设备模式下运行时,流量管理用户界面(TMUI)(也称为配置实用程序)在未公开的页面中具有经过身份验证的远程命令执行漏洞。
3、CVE-2021-22988 TMUI授权远程代码执行漏洞
漏洞危害:高危。TMUI,也称为“配置”实用程序,在未公开的页面中具有经过身份验证的远程命令执行漏洞。
4、CVE-2021-22989 Appliance mode Advanced WAF/ASM TMUI授权远程命令执行漏洞
漏洞危害:高危。当在具有高级WAF或BIG-IP ASM设置的设备模式下运行时,TMUI(也称为配置实用程序)在未公开的页面中具有经过身份验证的远程命令执行漏洞。
5、CVE-2021-22990 Advanced WAF/ASM TMUI授权远程命令执行漏
漏洞危害:中危。在配备了高级WAF或BIG-IP ASM的系统上,TMUI(也称为配置实用程序)在未公开的页面中具有经过身份验证的远程命令执行漏洞。
6、CVE-2021-22991 TMM缓冲区溢出漏洞
漏洞危害:严重。流量管理微内核(TMM)URI规范化可能会错误地处理对虚拟服务器的未公开请求,这可能会触发缓冲区溢出,从而导致DoS攻击。在某些情况下,它可以允许绕过基于URL的访问控制造成远程代码执行(RCE)。
7、CVE-2021-22992 Advanced WAF/ASM缓冲区溢出漏洞
漏洞危害:严重。对策略中配置了登录页面的Advanced WAF/BIG-IP ASM虚拟服务器的恶意HTTP响应可能会触发缓冲区溢出,从而导致DoS攻击。在某些情况下,可能会造成远程执行代码(RCE)。
F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。全球约有数十万台设备,可能受漏洞影响的资产广泛分布于世界各地,中国大陆主要分布于上海、广东、北京等省市。
目前受影响的F5 BIG-IP/BIG-IQ版本:
BIG-IP
16.0.0-16.0.1
15.1.0-15.1.2
14.1.0-14.1.3.1
13.1.0-13.1.3.5
12.1.0-12.1.5.2
11.6.1-11.6.5.2
BIG-IQ
7.1.0-7.1.0.2
7.0.0-7.0.0.1
6.0.0-6.1.0
用户可以在tmsh中输入show sys version查看当前版本。
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://support.f5.com/csp/article/K9502
升级方式参考官方文档:
https://support.f5.com/csp/article/K13123
该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:
针对CVE-2021-22986,CVE-2021-22987,CVE-2021-22988,CVE-2021-22989,CVE-2021-22990:
一、阻止自身IP地址对BIG-IP系统的iControl REST接口的所有访问。将系统中每个自身IP地址的“Port Lockdown”设置更改为“Allow None”。如果必须打开端口,则应使用“Allow Custom”选项,注意禁止访问iControl REST。默认情况下,iControl REST侦听TCP端口443,或者可以配置自定义端口。
注意:执行此操作会阻止使用自身IP地址对Configuration Utility和iControl REST的所有访问。这些更改可能还会影响其他服务,包括破坏高可用性(HA)配置。
二、通过管理界面阻止iControl REST访问。将管理访问权限仅限制为通过安全网络进行的受信任用户和设备。
注意:通过httpd中的IP地址限制对管理界面的访问不是缓解此问题的可行方法。
针对CVE-2021-22992:
一、可以将以下iRule与受影响的虚拟服务器相关联。iRule检查来自服务器的响应,并针对易受攻击的响应返回502错误。要使用iRule缓解措施,请执行以下步骤:
1、登录到Configuration utility。
2、转到Local Traffic > iRules > iRule List。
3、选择Create
4、输入iRule的名称。
5、对于Definition,添加以下iRule代码:
when RULE_INIT { set static::debug 0 set static::max_length 4000}when HTTP_REQUEST { if {$static::debug}{ set LogString "Client [IP::client_addr]:[TCP::client_port] -> [HTTP::host][HTTP::uri]"} set uri [string tolower [HTTP::uri]]}when HTTP_RESPONSE { set header_names [HTTP::header names] set combined_header_name [join $header_names ""] set combined_header_name_len [string length $combined_header_name] if {$static::debug}{ log local0. "=================response======================" log local0. "$LogString (response)" log local0. "combined header names: $combined_header_name" foreach aHeader [HTTP::header names] { log local0. "$aHeader: [HTTP::header value $aHeader]"} log local0. "the length of the combined response header names: $combined_header_name_len" log local0. "============================================="} if { ( $combined_header_name_len > $static::max_length ) } { log local0. "In the response of '$uri', the length of the combined header names $combined_header_name_len exceeds the maximum value $static::max_length. See K52510511: Advanced WAF/ASM Buffer Overflow vulnerability CVE-2021-22992"HTTP::respond 502 content "Bad Gateway The server response is invalid. Please inform the administrator. Error: K52510511
"}}
6、选择Finished
7、将iRule与受影响的虚拟服务器相关联。
解决方法的影响:根据特定的环境,该缓解措施可能会增加系统上的其他资源负载。建议在维护时段内测试所有此类更改,并考虑对环境的可能影响。
二、修改登录页面配置。
1、登录到受影响的BIG-IP Advanced WAF/ASM系统的配置实用程序。
2、转到Security > Application Security > Sessions and Logins > Login Pages List。
3、从Current edited policy list中选择安全策略。
4、从 Login Pages List中选择登录URL的名称。
5、从这两个设置中删除所有配置。
6、选择Save以保存更改。
7、选择Apply Policy以应用更改。
8、选择OK以确认操作。
重要提示:可能需要配置其他登录页面访问验证条件,以继续使用未设置这些设置的登录页面。
