F5 BIG-IP/BIG-IQ 多个高危漏洞通告

一.  漏洞概述

3月11日,绿盟科技监测到F5官方发布安全通告,修复了影响F5的BIG-IP和BIG-IQ的多个高危漏洞(CVE-2021-22986,CVE-2021-22987,CVE-2021-22988,CVE-2021-22989,CVE-2021-22990,CVE-2021-22991,CVE-2021-22992),建议相关用户采取措施进行防护。

BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。BIG-IQ 是一款用于管理和协调 F5 安全与应用交付解决方案的智能框架。

参考链接:https://support.f5.com/csp/article/K02566623

二. 重点漏洞描述

iControl REST远程命令执行漏洞(CVE-2021-22986):

未经身份验证的攻击者使用控制界面进行利用,通过BIG-IP管理界面或自身IP地址对iControl REST接口进行网络访问,可执行任意系统命令,创建或删除文件以及禁用服务,设备模式下的BIG-IP系统也容易受到攻击。CVSS评分为9.8。

官方通告链接:https://support.f5.com/csp/article/K03009991

流量管理用户界面(TMUI)远程命令执行漏洞(CVE-2021-22987):

当以设备模式运行时,经过身份验证的攻击者使用控制界面进行利用,通过BIG-IP管理端口或自身IP访问TMUI,可能导致系统完全受损并破坏设备模式,CVSS评分为9.9。

官方通告链接:https://support.f5.com/csp/article/K18132488

TMUI远程命令执行漏洞(CVE-2021-22988):

经过身份验证的攻击者使用控制界面利用此漏洞,通过BIG-IP管理端口或自身IP访问TMUI,可执行任意系统命令,创建或删除文件或禁用服务。

官方通告链接:https://support.f5.com/csp/article/K70031188

设备模式Advanced WAF/ASM TMUI 远程命令执行漏洞(CVE-2021-22989):

当在设备模式下配置了Advanced WAF或ASM时,具有管理员,资源管理员或应用程序安全管理员角色身份的攻击者通过BIG-IP管理端口或自身地址访问TMUI,可执行任意系统命令,创建或删除文件,或禁用服务。

官方通告链接:https://support.f5.com/csp/article/K56142644

Advanced WAF/ASM TMUI 远程命令执行漏洞(CVE-2021-22990):

在配备了Advanced WAF或BIG-IP ASM的系统上,具有管理员,资源管理员或应用程序安全管理员角色身份的攻击者通过BIG-IP管理端口或自身IP地址访问TMUI,可执行任意系统命令,创建或删除文件,或禁用服务。

官方通告链接:https://support.f5.com/csp/article/K45056101

TMM缓冲区溢出漏洞(CVE-2021-22991):

流量管理微内核(TMM)URI规范化可能会错误地处理对虚拟服务器的请求,从而触发缓冲区溢出,导致DoS攻击。攻击者通过数据层面进行利用,在某些情况下,可能绕过基于URL的访问控制或实现远程代码执行,CVSS评分为9.0。

官方通告链接:https://support.f5.com/csp/article/K56715231

Advanced WAF/ASM缓冲区溢出漏洞(CVE-2021-22992):

对策略中配置了“登录页面”的Advanced WAF / BIG-IP ASM虚拟服务器的恶意HTTP响应可能会触发缓冲区溢出,从而导致DoS攻击。攻击者通过数据层面进行利用,在某些情况下,可能造成远程代码执行。CVSS评分为9.0。

官方通告链接:https://support.f5.com/csp/article/K52510511

三. 影响范围

CVE-2021-22986:

受影响版本

  • BIG-IP:16.0.0-16.0.1
  • BIG-IP:15.1.0-15.1.2
  • BIG-IP:14.1.0-14.1.3.1
  • BIG-IP:13.1.0-13.1.3.5
  • BIG-IP:12.1.0-12.1.5.2
  • BIG-IQ:7.1.0-7.1.0.2
  • BIG-IQ:7.0.0-7.0.0.1
  • BIG-IQ:6.0.0-6.1.0

不受影响版本

  • BIG-IP:16.0.1.1
  • BIG-IP:15.1.2.1
  • BIG-IP:14.1.4
  • BIG-IP:13.1.3.6
  • BIG-IP:12.1.5.3
  • BIG-IQ:8.0.0
  • BIG-IQ:7.1.0.3
  • BIG-IQ:7.0.0.2

CVE-2021-22987/CVE-2021-22988/CVE-2021-22989/CVE-2021-22990/CVE-2021-22992

受影响版本

  • BIG-IP:16.0.0-16.0.1
  • BIG-IP:15.1.0-15.1.2
  • BIG-IP:14.1.0-14.1.3.1
  • BIG-IP:13.1.0-13.1.3.5
  • BIG-IP:12.1.0-12.1.5.2
  • BIG-IP:11.6.1-11.6.5.2

不受影响版本

  • BIG-IP:16.0.1.1
  • BIG-IP:15.1.2.1
  • BIG-IP:14.1.4
  • BIG-IP:13.1.3.6
  • BIG-IP:12.1.5.3
  • BIG-IP:11.6.5.3

CVE-2021-22991

受影响版本

  • BIG-IP:16.0.0-16.0.1
  • BIG-IP:15.1.0-15.1.2
  • BIG-IP:14.1.0-14.1.3.1
  • BIG-IP:13.1.0-13.1.3.5
  • BIG-IP:12.1.0-12.1.5.2

不受影响版本

  • BIG-IP:16.0.1.1
  • BIG-IP:15.1.2.1
  • BIG-IP:14.1.4
  • BIG-IP:13.1.3.6
  • BIG-IP:12.1.5.3

四. 漏洞检测

4.1 版本检测

①用户可通过在TMOS shell(tmsh)中输入以下命令,查看当前使用的版本:

show sys version

②用户也可登录Web管理界面查看当前BIG-IP的版本:

若版本在受影响范围内即存在安全风险。

五. 漏洞防护

5.1 官方升级

目前F5官方已在最新版本中修复了以上漏洞,请受影响的用户尽快升级至对应版本进行防护,官方下载链接:

BIG-IP:https://support.f5.com/csp/article/K9502

BIG-IQ:https://support.f5.com/csp/article/K15113

升级指南与注意事项请参阅:

BIG-IP:https://support.f5.com/csp/article/K13123

BIG-IQ:https://support.f5.com/csp/article/K15106

5.2 临时防护措施

若相关用户暂时无法进行升级操作,可采用以下措施进行缓解。

CVE-2021-22986:

禁止通过自身IP地址访问iControl REST:将系统中每个IP地址的Port Lockdown选项设置为Allow None。 如果必须开放某端口,则开启Allow Custom选项。 默认情况下,iControl REST监听443端口。

禁止通过管理界面访问iControl REST:仅将管理访问权限开放给受信任的用户和F5设备。

CVE-2021-22987/CVE-2021-22988/CVE-2021-22989/ CVE-2021-22989

禁止通过自身IP地址访问配置实用程序:将系统上每个IP地址的Port Lockdown选项设置更改为Allow None。 如果必须开放某端口,则开启Allow Custom选项。默认情况下,配置实用程序监听443端口。

禁止通过管理界面访问配置实用程序:仅将管理访问权限开放给受信任的用户和F5设备。

CVE-2021-22992

使用iRule缓解恶意连接:

1. 登录配置实用程序

2. 进入Local Traffic > iRules > iRule List

3. 选择Create

4. 输入iRule的名称

5. 在Definition中添加以下iRule代码:

Mitigation for K52510511: Advanced WAF/ASM Buffer Overflow vulnerability CVE-2021-22992
when RULE_INIT {
Set static::debug 1 to enable debug logging.
set static::debug 0 set static::max_length 4000
}
when HTTP_REQUEST {
if {$static::debug}{
set LogString "Client [IP::client_addr]:[TCP::client_port] -> [HTTP::host][HTTP::uri]"
}
set uri [string tolower [HTTP::uri]]
}
when HTTP_RESPONSE {
set header_names [HTTP::header names]
set combined_header_name [join $header_names ""]
set combined_header_name_len [string length $combined_header_name]
if {$static::debug}{
log local0. "=================response======================"
log local0. "$LogString (response)"
log local0. "combined header names: $combined_header_name"
foreach aHeader [HTTP::header names] {
log local0. "$aHeader: [HTTP::header value $aHeader]"
}
log local0. "the length of the combined response header names: $combined_header_name_len"
log local0. "============================================="
}
if { ( $combined_header_name_len > $static::max_length ) } {
log local0. "In the response of '$uri', the length of the combined header names $combined_header_name_len exceeds the maximum value $static::max_length. See K52510511: Advanced WAF/ASM Buffer Overflow vulnerability CVE-2021-22992"
HTTP::respond 502 content "Bad Gateway
The server response is invalid. Please inform the administrator. Error: K52510511
"
}
}

6. 选择Finished

7. 将iRule与受影响的虚拟服务器相关联

修改登录界面配置:

1. 登录到受影响的Advanced WAF/ASM系统的配置实用程序

2. 进入Security > Application Security > Sessions and Logins > Login Pages List

3. 从Current edited policy list中选择安全策略

4. 从这两个设置中删除所有配置

5. 选择保存以保存更改

6. 选择Apply Policy,应用更改

7. 选择OK以确认操作

删除登陆页面:

1. 登录到受影响的BIG-IP Advanced WAF/ASM系统的配置实用程序

2. 进入Security > Application Security > Sessions and Logins > Login Pages List

3. 从Current edited policy list中选择安全策略

4. 选择要删除的登录页面配置

5. 选择Delete

6. 选择OK确认删除

7. 选择Apply Policy,应用更改

8. 选择OK确认操作

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

Spread the word. Share this post!

Meet The Author

Leave Comment