cve - 2022 - 1388:在F5几个认证绕过
![](http://www.yyueer.com/sites/default/files/images/articles/Blog-Research-CEA-Medium-Max-Quality_15.jpg)
F5修补一个认证绕过几个产品家族,可能导致执行任意命令。这个漏洞是积极利用。
5月10日更新:现在确定影响系统部分反映了一个远程的可用性检查。后台部分基于积极的开发也被更新。
背景
作为的一部分季度安全通知2022年5月,F5修补cve - 2022 - 1388几个关键认证绕过漏洞,一个家庭的硬件和软件解决方案用于应用程序交付和集中的设备管理。
攻击者利用先前披露在几个缺陷:cve - 2021 - 22986,一个缺陷在iControl几个和其他组件cve - 2020 - 5902,几个交通管理用户界面的缺陷,都是在野外利用。安全响应团队包括cve - 2020 - 5902的五大漏洞2020威胁景观回顾由于开发的范围。5月9日,第一个概念论证发表后不久,剥削的尝试在野外发现了。
分析
cve - 2022 - 1388是一个认证绕过漏洞在其余组件的几个iControl API被分配一个CVSSv3得分为9.8。iControl REST API用于几个设备的管理和配置。cve - 2022 - 1388未经过身份验证的攻击者可能会利用网络访问管理端口或自我使用几个IP地址的设备。开发允许攻击者执行任意的系统命令,创建和删除文件和禁用服务。
概念验证
5月6日Horizon3攻击团队在Twitter上发布他们的研究人员之一,詹姆斯骑士已经开发了一个概念验证(PoC) cve - 2022 - 1388。他们推迟出版PoC直到5月9日。同样在5月9日,另一个PoC Ja502n出版推特。
解决方案
虽然修补是推荐的行动方针,F5提供了一些缓解指导如果不立即成为可能。减少攻击服务,组织可以限制访问脆弱iControl REST API可信网络和设备。建议不允许访问来自不受信任的网络设备管理接口。
下表列出了几个分支,受影响的版本和固定的版本:
分支 | 影响版本 | 固定的版本 |
---|---|---|
17.倍 | 没有一个 | 17.0.0 |
16.倍 | 16.1.0——16.1.2 | 16.1.2.2 |
15.倍 | 15.1.0——15.1.5 | 15.1.5.1 |
14.倍 | 14.1.0 - 14.1.4 | 14.1.4.6 |
13.倍 | 13.1.0——13.1.4 | 13.1.5 |
12.倍 | 12.1.0——12.1.6 | 不会解决 |
11.倍 | 11.6.1——11.6.5 | 不会解决 |
确定影响系统
站得住脚的插件的列表来确定可以找到这个漏洞在这里。合规性审计文件是可用的在这里检查httpd缓解。我们也发布了远程检查插件确定如果你F5几个部署很容易利用cve - 2022 - 1388。
获得更多的信息
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。
得到一个天的免费试用站得住脚的。io脆弱性管理。
更改日志
5月9日更新:概念验证部分现在提供链接两个概念论证后发表的首次出版。