F5 多个严重漏洞通告
发布时间:2021-03-15 15:03
访问次数:
信息来源:安全牛
信息来源:
漏洞公告
监测发现F5发布了F5 BIG-IQ/F5 BIG-IP 代码执行,代码执行的风险通告,该漏洞编号为CVE-2021-22986,CVE-2021-22987,CVE-2021-22992.CVE-2021-22991,漏洞等级:严重,漏洞评分:9.8。
F5 安全通告更新了 BIG-IP、BIG-IQ 中的多个严重漏洞。
对此,建议广大用户及时将f5 big-iq,f5 big-ip升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
漏洞详情
CVE-2021-22986: 代码执行漏洞
该漏洞允许未经身份验证的攻击者通过BIG-IP管理界面和自身IP地址对iControl REST接口进行网络访问,以执行任意系统命令,创建或删除文件以及禁用服务。 该漏洞只能通过控制界面利用,而不能通过数据界面利用。
CVE-2021-22987: 代码执行漏洞
当以设备模式运行时,该漏洞允许经过身份验证的用户通过BIG-IP管理端口或自身IP地址对配置实用程序进行网络访问,以执行任意系统命令,创建或删除文件或禁用服务。 该漏洞只能通过控制界面利用,而不能通过数据界面利用。 漏洞利用可能导致系统完全受损并破坏设备模式。
CVE-2021-22991: 缓冲区溢出漏洞
流量管理微内核(Traffic Management Microkernel, TMM) URI 的规范化可能会错误地处理对虚拟服务器的请求,从而触发缓冲区溢出,导致DoS攻击。在某些情况下,它可能绕过基于URL的访问控制或造成远程代码执行。该漏洞只能通过控制界面利用,而不能通过数据界面利用。
CVE-2021-22992:缓冲区溢出漏洞
对在登录页面的策略中配置了Advanced WAF / ASM虚拟服务器的恶意HTTP响应可能会触发缓冲区溢出,从而导致DoS攻击。在某些情况下,可能造成远程代码执行。该漏洞只能通过控制界面利用,而不能通过数据界面利用。
影响版本
CVE-2021-22986
BIG-IP:
– 16.0.0-16.0.1
– 15.1.0-15.1.2
-14.1.0-14.1.3.1
– 13.1.0-13.1.3.5
– 12.1.0-12.1.5.2
BIG-IQ:
– 7.1.0-7.1.0.2
– 7.0.0-7.0.0.1
– 6.0.0-6.1.0
CVE-2021-22987/CVE-2021-22992
BIG-IP:
– 16.0.0-16.0.1
– 15.1.0-15.1.2
– 14.1.0-14.1.3.1
– 13.1.0-13.1.3.5
– 12.1.0-12.1.5.2
– 11.6.1-11.6.5.2
CVE-2021-22991
BIG-IP:
– 16.0.0-16.0.1
– 15.1.0-15.1.2
– 14.1.0-14.1.3.1
– 13.1.0-13.1.3.5
– 12.1.0-12.1.5.2
修复建议
通用修补建议
– CVE-2021-22987/CVE-2021-22992:
BIG-IP16.0.0 - 16.0.1版本升级到16.0.1.1
BIG-IP15.1.0 - 15.1.2版本升级到15.1.2.1
BIG-IP14.1.0 - 14.1.3版本升级到14.1.4
BIG-IP13.1.0 - 13.1.3版本升级到13.1.3.6
BIG-IP12.1.0 - 12.1.5版本升级到12.1.5.3
BIG-IP11.6.1 - 11.6.5版本升级到11.6.5.3
– CVE-2021-22986:
BIG-IP16.0.0 - 16.0.1版本升级到16.0.1.1
BIG-IP15.1.0 - 15.1.2版本升级到15.1.2.1
BIG-IP14.1.0 - 14.1.3版本升级到14.1.4
BIG-IP13.1.0 - 13.1.3版本升级到13.1.3.6
BIG-IP12.1.0 - 12.1.5版本升级到12.1.5.3
BIG-IQ7.1.0/7.0.0对应升级到7.1.0.3/7.0.0.2,或者升级到8.0版本
– CVE-2021-22991:
BIG-IP16.0.0 - 16.0.1版本升级到16.0.1.1
BIG-IP15.1.0 - 15.1.2版本升级到15.1.2.1
BIG-IP14.1.0 - 14.1.3版本升级到14.1.4
BIG-IP13.1.0 - 13.1.3版本升级到13.1.3.6
BIG-IP12.1.0 - 12.1.5版本升级到12.1.5.3
临时修补建议
CVE-2021-22986
– 通过自身IP地址禁止访问iControl REST:将系统中每个自身IP地址的Port Lockdown选项设置更改为Allow None。 如果必须开放某端口,则开启Allow Custom选项。 默认情况下,iControl REST监听443端口。
– 通过管理接口禁止访问iControl REST:将管理访问权限限制为受信任用户和设备。
CVE-2021-22987
– 通过自身IP地址阻止访问BIG-IP系统配置实用程序:将系统上每个自身IP地址的Port Lockdown选项设置更改为Allow None。 如果必须开放某端口,则开启Allow Custom选项。默认情况下,配置实用程序监听443端口。
– 通过管理接口禁止访问配置实用程序:将管理访问权限限制为受信任用户和F5设备。
CVE-2021-22992
– 使用iRule缓解恶意连接:
1. 登录配置实用程序
2. 找到Local Traffic > iRules > iRule List
3. 选择Create
4. 输入iRule的名称
5. 为了定义,添加以下iRule代码:
# Mitigation for K52510511: Advanced WAF/ASM Buffer Overflow vulnerability CVE-2021-22992
when RULE_INIT {
# Set static::debug 1 to enable debug logging.
set static::debug 0
set static::max_length 4000
}
when HTTP_REQUEST {
if {$static::debug}{
set LogString "Client [IP::client_addr]:[TCP::client_port] -> [HTTP::host][HTTP::uri]"
}
set uri [string tolower [HTTP::uri]]
}
when HTTP_RESPONSE {
set header_names [HTTP::header names]
set combined_header_name [join $header_names ""]
set combined_header_name_len [string length $combined_header_name]
if {$static::debug}{
log local0. "=================response======================"
log local0. "$LogString (response)"
log local0. "combined header names: $combined_header_name"
foreach aHeader [HTTP::header names] {
log local0. "$aHeader: [HTTP::header value $aHeader]"
}
log local0. "the length of the combined response header names: $combined_header_name_len"
log local0. "============================================="
}
if { ( $combined_header_name_len > $static::max_length ) } {
log local0. "In the response of '$uri', the length of the combined header names $combined_header_name_len exceeds the maximum value $static::max_length. See K52510511: Advanced WAF/ASM Buffer Overflow vulnerability CVE-2021-22992"
HTTP::respond 502 content "<HTML><HEAD><TITLE>Bad Gateway</TITLE></HEAD> <BODY><P>The server response is invalid. Please inform the administrator. Error: K52510511</P></BODY></HTML>"
}
}
6. 选择Finished
7. 将iRule与受影响的虚拟服务器相关联
– 修改登录界面配置:
1. 登录到受影响的BIG-IP Advanced WAF / ASM系统的配置实用程序
2. 找到Security > Application Security > Sessions and Logins > Login Pages List
3. 从Current edited policy lis中选择安全策略
4. 从这两个设置中删除所有配置
5. 选择保存以保存更改
6. 选择Apply Policy,应用更改
7. 选择OK确认操作
– 删除登录界面:
1. 登录到受影响的BIG-IP Advanced WAF / ASM系统的配置实用程序。
2. 找到Security > Application Security > Sessions and Logins > Login Pages List
3. 选择要删除的登录页面配置
4. 选择Delete。
5. 选择OK确认删除
6. 选择Apply Policy,应用更改
7. 选择OK确认操作