cve - 2021 - 22986: F5补丁几个关键的几个漏洞,BIG-IQ

F5版本补丁为多个漏洞几个BIG-IQ,包括一个关键的远程命令执行缺陷,不需要身份验证,可能会吸引利用在不久的将来。

背景

3月10日,F5发布一个安全咨询几个关键的漏洞几个和BIG-IQ,一个家庭的硬件和软件解决方案应用程序交付和集中的设备管理。

CVE	CVSSv3	知识库文章
cve - 2021 - 22986	9.8	https://support.f5.com/csp/article/K03009991
cve - 2021 - 22987	9.9	https://support.f5.com/csp/article/K18132488
cve - 2021 - 22988	8.8	https://support.f5.com/csp/article/K70031188
cve - 2021 - 22989	8.0	https://support.f5.com/csp/article/K56142644
cve - 2021 - 22990	6.6	https://support.f5.com/csp/article/K45056101
cve - 2021 - 22991	9.0	https://support.f5.com/csp/article/K56715231
cve - 2021 - 22992	9.0	https://support.f5.com/csp/article/K52510511

分析

cve - 2021 - 22986是一个远程命令执行漏洞几个和BIG-IQiControl REST API。通过几个API访问管理界面和自我IP地址。一个未经身份验证的远程攻击者可以利用这个漏洞通过发送一个请求到脆弱的REST接口设计的比较特别的查询。成功的开发将使攻击者的能力脆弱的系统上实现任意代码执行,根据F5,“导致完整的系统妥协。“我们认为这最严重的F5修补的漏洞,因为它不需要身份验证和成功开发的潜力高。

交通管理用户界面(TMUI)相关的漏洞

除了cve - 2021 - 22986, F5修补四个漏洞在F5的几个交通管理用户界面(TMUI),也被称为配置实用程序。

所有四个漏洞需要经过身份验证的脆弱系统攻击者为了利用这些缺陷。在某些情况下,特定的配置是必需的,如设备中运行设备模式和/或供应的F5先进的Web应用防火墙(WAF)或应用程序安全经理(ASM)。

CVE	要求
cve - 2021 - 22987	设备模式
cve - 2021 - 22988	没有一个
cve - 2021 - 22989	设备模式先进WAF或ASM
cve - 2021 - 22990	高级WAF或ASM

cve - 2021 - 22988是相同的漏洞cve - 2021 - 22987,除了启用设备模式不是一个开发要求。

缓冲区溢出漏洞在TMM和先进WAF / ASM

cve - 2021 - 22991是一个缓冲区溢出漏洞的几个交通管理微核(TMM)由于处理不当披露的目的地的虚拟服务器的请求。F5列出了某些配置几个是脆弱的,包括:

• 几个访问策略管理器(APM)
• 几个ASM风险引擎
• 几个策略执行经理(PEM)
• 几个APM安全Web网关(SWG)
• 几个SSL协调器
• 几个系统

cve - 2021 - 22992是一个缓冲区溢出漏洞的高级WAF或ASM虚拟服务器由于登录页面的配置方式。F5说,为了让攻击者利用这个漏洞,他们将需要能够处理服务器端HTTP响应或控制后端web服务器。至少,攻击者能够引起拒绝服务(DoS)攻击脆弱的设备。在某些情况下,攻击者可以获得任意代码执行特权。

在这个博客发表的时候,Shodan查询显示,有超过5000几个,apple的设备,每一个都可能是潜在的脆弱:

cve - 2020 - 5902织机的幽灵

对从业者来说,很难不去回忆去年夏天的F5咨询cve - 2020 - 5902,一个远程代码执行漏洞在F5几个至关重要TMUI后,很快就在野外利用其信息披露。因为它的严重程度和总体的影响,cve - 2020 - 5902有漏洞在我们的前5位2020威胁景观回顾报告。

我们预料cve - 2021 - 22986将的后尘cve - 2020 - 5902,当攻击者开始积极扫描并试图利用这一缺陷在野生环境中,用一个概念验证将在不久的将来变得可用。这些漏洞的严重性是进一步强化了网络安全和基础设施机构的(CISA)最新的咨询鼓励用户尽快应用补丁。

概念验证

在这篇文章发表的时候,有两个概念论证:

• cve - 2021 - 22991(配置依赖)
• cve - 2021 - 22992

解决方案

F5发布的补丁解决所有七个漏洞。下表包含了影响版本以及固定的几个版本和BIG-IQ。

影响版本	固定的版本	产品
6.0通过6.1.0	迁移到7。x或8.0.0	BIG-IQ (cve - 2021 - 22986)
通过7.0.0.1 7.0.0	7.0.0.2	BIG-IQ (cve - 2021 - 22986)
通过7.1.0.2 7.1.0	7.1.0.3	BIG-IQ (cve - 2021 - 22986)
通过11.6.5.2 11.6.1	11.6.5.3	几个,几个高级WAF / ASM
通过12.1.5.2 12.1.0	12.1.5.3	几个,几个高级WAF / ASM
通过13.1.3.5 13.1.0	13.1.3.6	几个,几个高级WAF / ASM
通过14.1.3.1 14.1.0	14.1.4	几个,几个高级WAF / ASM
通过15.1.2 15.1.0	15.1.2.1	几个,几个高级WAF / ASM
通过16.0.1 16.0.0	16.0.1.1	几个,几个高级WAF / ASM

所有客户的几个和BIG-IQ强烈建议尽快应用这些补丁。

如果应用补丁cve - 2021 - 22986目前并不可行,F5提供了暂时的缓解措施,可以应用于限制访问iControl通过REST接口阻止访问通过自我IP地址或通过管理界面阻止访问。请注意这些移植只能暂时使用,直到您可以应用提供的补丁。

确定影响系统

站得住脚的插件的列表来确定这些漏洞可以被发现在这里。扫描脆弱的设备,用户需要启用“显示潜在的假警报”设置,也被称为“偏执的模式中,”扫描策略。

我们也建议允许只在偏执扫描这些特定的插件。扫描策略配置为启用了所有插件的数量将增加触发器,它将包括所有的偏执在扫描插件。

使偏执的模式

启用该设置Nessus或站不住脚。io用户:

1. >一般>点击评估准确性
2. 启用“显示潜在的假警报”选项

启用该设置站得住脚的。sc用户:

1. 点击评估>准确性
2. 点击下拉框,选择“偏执狂(更假警报)”

获得更多的信息

• F5安全顾问在几个关键的漏洞和BIG-IQ(2021年3月)
• F5安全cve - 2021 - 22986咨询
• 站得住脚的博客cve - 2020 - 5902(2020年7月)
• Shodan查询F5几个设备
• 中钢协F5安全咨询

加入站不住脚的安全响应团队站得住脚的社区。

了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。

得到一个天的免费试用站得住脚的。io脆弱性管理。