奇安信CERT
致力于第一时间为企业级用户提供安全风险通告和有效解决方案。
近日,奇安信CERT监测到F5官方发布了多个高危漏洞公告,包括BIG-IP/ BIG-IQ iControl REST远程命令执行漏洞(CVE-2021-22986)、流量管理用户界面(TMUI)远程命令执行漏洞(CVE-2021-22987)、设备模式Advanced WAF/ASM TMUI 远程命令执行漏洞(CVE-2021-22989)、Advanced WAF/ASM TMUI 远程命令执行漏洞(CVE-2021-22990)、TMM缓冲区溢出漏洞(CVE-2021-22991)、Advanced WAF/ASM缓冲区溢出漏洞(CVE-2021-22992)。其中最严重的漏洞为CVE-2021-22986,未经身份验证的攻击者可直接利用漏洞执行任意系统命令,创建或删除文件以及禁用服务。
目前,奇安信CERT已监测到部分漏洞POC已小范围传播,强烈建议客户尽快修复漏洞或采取缓解方案并自查服务器的安全状况。
细节是否公开 | PoC状态 | EXP状态 | 在野利用 |
未知 | 已公开(部分) | 未知 | 未知 |
近日,奇安信CERT监测到F5官方发布了多个高危漏洞公告。其中包括:
BIG-IP/ BIG-IQ iControl REST远程命令执行漏洞(CVE-2021-22986):未经身份验证的攻击者使用控制界面进行漏洞利用,通过BIG-IP管理界面或自身IP地址对iControl REST接口进行访问,可执行任意系统命令,创建或删除文件以及禁用服务,设备模式下的BIG-IP系统也容易受到攻击。
流量管理用户界面(TMUI)远程命令执行漏洞(CVE-2021-22987):当以设备模式运行时,经过身份验证的攻击者使用控制界面进行利用,通过BIG-IP管理端口或自身IP访问TMUI,可能导致系统完全受损。
TMUI远程命令执行漏洞(CVE-2021-22988):经过身份验证的攻击者使用控制界面利用此漏洞,通过BIG-IP管理端口或自身IP访问TMUI,可执行任意系统命令,创建或删除文件或禁用服务。
设备模式Advanced WAF/ASM TMUI 远程命令执行漏洞(CVE-2021-22989):当在设备模式下配置了Advanced WAF或ASM时,具有管理员、资源管理员或应用程序安全管理员角色身份的攻击者通过BIG-IP管理端口或自身IP地址访问TMUI,可执行任意系统命令,创建或删除文件,或禁用服务。
Advanced WAF/ASM TMUI 远程命令执行漏洞(CVE-2021-22990):在配备了Advanced WAF或BIG-IP ASM的系统上,具有管理员、资源管理员或应用程序安全管理员角色身份的攻击者通过BIG-IP管理端口或自身IP地址访问TMUI,可执行任意系统命令,创建或删除文件,或禁用服务。
TMM缓冲区溢出漏洞(CVE-2021-22991):流量管理微内核(TMM)URI规范化可能会错误地处理对虚拟服务器的请求,从而触发缓冲区溢出,导致DoS攻击。在某些情况下,可能绕过基于URL的访问控制或实现远程代码执行。
Advanced WAF/ASM缓冲区溢出漏洞(CVE-2021-22992):当F5 BIG-IP在配置了高级WAF或ASM的设备模式下运行时,攻击者可构造恶意的HTTP请求触发缓冲区溢出,从而造成远程代码执行或拒绝服务。
奇安信CERT第一时间复现其中一枚漏洞,复现截图如下:
CVE-2021-22986:
BIG-IP:16.0.0-16.0.1
BIG-IP:15.1.0-15.1.2
BIG-IP:14.1.0-14.1.3.1
BIG-IP:13.1.0-13.1.3.5
BIG-IP:12.1.0-12.1.5.2
BIG-IQ:7.1.0-7.1.0.2
BIG-IQ:7.0.0-7.0.0.1
BIG-IQ:6.0.0-6.1.0
CVE-2021-22987/CVE-2021-22988/CVE-2021-22989/CVE-2021-22990/CVE-2021-22992:
BIG-IP:16.0.0-16.0.1
BIG-IP:15.1.0-15.1.2
BIG-IP:14.1.0-14.1.3.1
BIG-IP:13.1.0-13.1.3.5
BIG-IP:12.1.0-12.1.5.2
BIG-IP:11.6.1-11.6.5.2
CVE-2021-22991:
BIG-IP:16.0.0-16.0.1
BIG-IP:15.1.0-15.1.2
BIG-IP:14.1.0-14.1.3.1
BIG-IP:13.1.0-13.1.3.5
BIG-IP:12.1.0-12.1.5.2
升级到最新版:
BIG-IP:https://support.f5.com/csp/article/K9502
BIG-IQ:https://support.f5.com/csp/article/K15113
缓解措施
CVE-2021-22986:
禁止通过自身IP地址访问iControl REST:将系统中每个IP地址的Port Lockdown选项设置为Allow None。如果必须开放某端口,则开启Allow Custom选项。默认情况下,iControl REST监听443端口。
禁止通过管理界面访问iControl REST:仅将管理访问权限开放给受信任的用户和F5设备。
CVE-2021-22987/CVE-2021-22988/CVE-2021-22989/ CVE-2021-22989:
禁止通过自身IP地址访问配置实用程序:将系统上每个IP地址的Port Lockdown选项设置更改为Allow None。如果必须开放某端口,则开启Allow Custom选项。默认情况下,配置实用程序监听443端口。
禁止通过管理界面访问配置实用程序:仅将管理访问权限开放给受信任的用户和F5设备。
CVE-2021-22992:
使用iRule缓解恶意连接:
1. 登录配置实用程序
2. 进入Local Traffic > iRules > iRule List
3. 选择Create
4. 输入iRule的名称
5. 在Definition中添加以下iRule代码:
6. 选择Finished
7. 将iRule与受影响的虚拟服务器相关联
修改登录界面配置:
1. 登录到受影响的Advanced WAF/ASM系统的配置实用程序
2. 进入Security > Application Security > Sessions and Logins > Login Pages List
3. 从Current edited policy list中选择安全策略
4. 从这两个设置中删除所有配置
5. 选择保存以保存更改
6. 选择Apply Policy,应用更改
7. 选择OK以确认操作
删除登陆页面:
1. 登录到受影响的BIG-IP Advanced WAF/ASM系统的配置实用程序
2. 进入Security > Application Security > Sessions and Logins > Login Pages List
3. 从Current edited policy list中选择安全策略
4. 选择要删除的登录页面配置
5. 选择Delete
6. 选择OK确认删除
7. 选择Apply Policy,应用更改
8. 选择OK确认操作
奇安信天眼产品解决方案
奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0312.12693上版本。规则名称:F5 BIG-IP 远程代码执行漏洞,规则ID:0x1002059B。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
奇安信网神智慧防火墙产品防护方案
奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2103121600” 及以上版本并启用规则ID: 1236301进行检测。
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对F5 BIG-IP/BIG-IQ 多个严重高危漏洞的防护。
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:6263,建议用户尽快升级检测规则库至2103121600以后版本并启用该检测规则。
[1]https://support.f5.com/csp/article/K02566623
2021年3月12日,奇安信 CERT发布安全风险通告
点击阅读原文到奇安信NOX-安全监测平台查询更多漏洞详情
奇安信CERT长期招募安全研究员
↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓
