F5 BIG-IP/BIG-IQ iControl REST 未授权远程代码执行漏洞

admin

0
文章

0
评论

2023-12-01 15:51:31 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

严重 F5 BIG-IP/BIG-IQ iControl REST 未授权远程代码执行漏洞

CVE编号

CVE-2021-22986

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2021-03-10

漏洞描述

2021年3月10日，阿里云应急响应中心监测到F5官方发布安全通告，修复了包括 CVE-2021-22986 BIG-IP iControl REST 未授权远程代码执行漏洞在内的多个严重高危漏洞。 F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。2021年3月10日，阿里云应急响应中心监测到F5官方发布安全通告，修复了多个严重高危漏洞，其中包括： 1、CVE-2021-22986 BIG-IP/BIG-IQ iControl REST 未授权远程代码执行漏洞中，未经身份验证的攻击者可通过iControl REST接口，构造恶意请求，执行任意系统命令。 2、CVE-2021-22987 BIG-IP TMUI 后台远程代码执行漏洞中，经过身份验证的用户可构造恶意请求，执行任意系统命令。 3、CVE-2021-22988 BIG-IP TMUI 后台远程代码执行漏洞中，经过身份验证的用户可构造恶意请求，执行任意系统命令。 4、CVE-2021-22989 Advanced WAF/ASM TMUI 后台远程代码执行漏洞中，经过身份验证的用户通可构造恶意请求，执行任意系统命令。 5、CVE-2021-22990 Advanced WAF/ASM TMUI 后台远程代码执行漏洞中，经过身份验证的用户可构造恶意请求，执行任意系统命令。阿里云应急响应中心提醒 F5 BIG-IP/BIG-IQ 用户尽快采取安全措施阻止漏洞攻击。

解决建议

1、建议将F5 BIG-IP / BIG-IQ 升级至安全版本。下载地址参考：https://support.f5.com/csp/article/K025666232、建议利用阿里云安全组功能为 F5 BIG-IP / BIG-IQ 相关管理界面设置白名单，仅对可信地址开放访问。

参考链接
http://packetstormsecurity.com/files/162059/F5-iControl-Server-Side-Request-F...
http://packetstormsecurity.com/files/162066/F5-BIG-IP-16.0.x-Remote-Code-Exec...
https://help.aliyun.com/noticelist/articleid/1060816955.html
https://support.f5.com/csp/article/K03009991

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	f5	big-ip_access_policy_manager	*	-
	运行在以下环境
	应用	f5	big-ip_advanced_firewall_manager	*	-
	运行在以下环境
	应用	f5	big-ip_analytics	*	-
	运行在以下环境
	应用	f5	big-ip_application_acceleration_manager	*	-
	运行在以下环境
	应用	f5	big-ip_application_security_manager	*	-
	运行在以下环境
	应用	f5	big-ip_ddos_hybrid_defender	*	-
	运行在以下环境
	应用	f5	big-ip_domain_name_system	*	-
	运行在以下环境
	应用	f5	big-ip_fraud_protection_service	*	-
	运行在以下环境
	应用	f5	big-ip_global_traffic_manager	*	-
	运行在以下环境
	应用	f5	big-ip_link_controller	*	-
	运行在以下环境
	应用	f5	big-ip_local_traffic_manager	*	-
	运行在以下环境
	应用	f5	big-ip_policy_enforcement_manager	*	-
	运行在以下环境
	应用	f5	big-ip_ssl_orchestrator	*	-