【漏洞预警】F5 BIG-IP iControl REST 身份验证绕过漏洞(CVE-2022-1388)
攻击者可在无需身份认证的情况下调用相关Rest API,该漏洞允许未经身份验证的攻击者通过管理端口或自身 IP 地址对 BIG-IP 系统进行网络访问,以执行任意系统命令、创建或删除文件以及禁用BIG-IP上的服务。具体参考F5官方安全公告:但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码建议部署相关产品的用户及时测试并升级到漏洞修复的版本
【漏洞风险预警】F5 BIG-IP iControl REST 身份验证绕过漏洞(CVE-2022-1388)
一、漏洞详情2022年05月05日,F5官方发布了CVE-2022-1388 F5 BIG-IP iControl REST 远程代码执行漏洞。漏洞等级:严重,漏洞评分:9.8。
F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。iControl REST 是iControl 框架的演变,使用 REpresentational State Transfer (REST)。这允许用户或脚本与 F5 设备之间进行轻量级、快速的交互。
CVE-2022-1388 中,攻击者可在无需身份认证的情况下调用相关Rest API,从而执行任意命令。
截止 2022年5月7日,互联网上尚未披露相关利用脚本
漏洞详情:https://support.f5.com/csp/article/K23605346
CVE:CVE-2022-1388
披露时间:2022-05-05 00:00:00
组件: F5 BIG-IP iControl REST
CVSS:None
危险等级:严重
漏洞类型: 身份验证绕过
漏洞特征:远程代码执行
威胁等级: 严重
影响: 命令执行
影响面: 广泛
攻击者价值:高
利用难度: 低
简述: 该漏洞允许未经身份验证的攻击者通过管理端口或自身 IP 地址对 BIG-IP 系统进行网络访问,以执行任意系统命令、创建或删除文件以及禁用BIG-IP上的服务。
二、影响版本受影响版本:
F5 BIG-IP 16.1.0-16.1.2
F5 BIG-IP 15.1.0-15.1.5
F5 BIG-IP 14.1.0-14.1.4
F5 BIG-IP 13.1.0-13.1.4
F5 BIG-IP 12.1.0-12.1.6
F5 BIG-IP 11.6.1-11.6.5
其中版本12.1.0-12.1.6和11.6.1-11.6.5可能将不会受到修复。
安全版本:
F5 BIG-IP 17.0.0
F5 BIG-IP 16.1.2.2
F5 BIG-IP 15.1.5.1
F5 BIG-IP 14.1.4.6
F5 BIG-IP 13.1.5
具体参考F5官方安全公告:
(图片可点击放大查看)
(图片可点击放大查看)
https://support.f5.com/csp/article/K23605346
三、修复建议目前漏洞POC暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,官方已发布安全更新,建议部署相关产品的用户及时测试并升级到漏洞修复的版本。
1、建议相关使用客户请尽快升级 F5 BIG-IP 至最新版本。
相关版本升级信息可参考 https://support.f5.com/csp/article/K23605346
2、若暂无法升级,可利用相关安全策略设置 F5 BIG-IP iControl REST 对可信地址开放。
临时缓解措施:
在可以安装固定版本之前,可使用以下部分作为临时缓解措施。这些缓解措施将对iControl REST的访问限制为仅受信任的网络或设备,从而限制了攻击面。
1.通过自有 IP 地址阻止对BIG-IP系统的iControl REST接口的所有访问;
2.通过管理界面将访问限制为仅受信任的用户和设备;
3.参考官方给出的建议操作修改 BIG-IP httpd 配置。
免责声明:本文上述内容收集于互联网,如果有不妥之处,敬请谅解。如有侵权内容,请联系本文作者进行删除。
四、漏洞检测脚本检测脚本来自Github
curl -sk --max-time 2 "https://${F5_HOST_IP}/mgmt/shared/authn/login" | egrep "message|resterrorresponse" | jq
如图所示,有回显的说明存在漏洞,请及时进行修复或者使用缓解措施
(图片可点击放大查看)
原文地址:https://cloud.tencent.com/developer/article/2004782