一、漏洞介紹
F5 BIG-IP是美國F5公司的一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。2021年3月11日,F5官方發布了多個安全漏洞的公告。具體如下:
序號 | 漏洞名稱 | 漏洞編號 | 漏洞簡介 |
1 | F5 BIG-IP 安全漏洞 | CNNVD-202103-770、CVE-2021-22986 | 該漏洞允許未經身份驗證的攻擊者通過BIG-IP管理界面和自身IP地址對iControl REST接口進行網絡訪問,以執行任意系統命令,創建或刪除文件以及禁用服務。 |
2 | F5 BIG-IP 安全漏洞 | CNNVD-202103-772、CVE-2021-22987 | 當以設備模式運行時,該漏洞允許經過身份驗證的用戶通過BIG-IP管理端口或自身IP地址訪問TMUI,以執行任意系統命令,創建或刪除文件以及禁用服務。 |
3 | F5 BIG-IP 安全漏洞 | CNNVD-202103-784、CVE-2021-22991 | 流量管理微內核(Traffic Management Microkernel, TMM) URI 的規范化可能會錯誤地處理對虛擬服務器的請求,從而觸發緩沖區溢出,導致拒絕服務攻擊。在一定條件下,可能繞過基于URL的訪問控制,造成遠程代碼執行。 |
4 | F5 BIG-IP 安全漏洞 | CNNVD-202103-781、CVE-2021-22992 | 在策略中配置了Login Page的Advanced WAF/ASM虛擬服務器在響應惡意HTTP時可能會觸發緩沖區溢出,從而導致拒絕服務攻擊。在一定條件下,可能造成遠程代碼執行。 |
二、危害影響
F5BIG-IP在全球范圍內擁有大量用戶,主要分布在美國、中國、日本等國家?;ヂ摼W檢索發現,全球受影響的資產在3萬左右,其中超過40%的用戶在美國,共1.4萬條使用記錄,超過20%的設備在中國大陸,共8千余條使用記錄。漏洞影響具體版本如下:
序號 | 漏洞名稱 | 漏洞編號 | 影響版本 |
1 | F5 BIG-IP 安全漏洞 | CNNVD-202103-770、CVE-2021-22986 | BIG-IP: 16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13.1.0-13.1.3.5 12.1.0-12.1.5.2 BIG-IQ: 7.1.0-7.1.0.2 7.0-7.0.0.1 6.0.0-6.1.0 |
2 | F5 BIG-IP 安全漏洞 | CNNVD-202103-772、CVE-2021-22987 | BIG-IP: 16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13. 1.0-13.1.3.5 12.1.0-12.1.5.2 11.6.1-11.6.5.2 |
3 | F5 BIG-IP 安全漏洞 | CNNVD-202103-784、CVE-2021-22991 | BIG-IP: 16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13.1.0-13.1.3.5 12.1.0-12.1.5.2 |
4 | F5 BIG-IP 安全漏洞 | CNNVD-202103-781、CVE-2021-22992 | BIG-IP Advanced WAF/ASM 16.0.0-16.0.1 15.1.0-15.1.2 14.1.0-14.1.3.1 13. 1.0-13.1.3.5 12.1.0-12.1.5.2 11.6.1-11.6.5.2 |
三、修復建議
目前,F5官方已經發布了修復漏洞的升級版本,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。官方升級地址如下:
https://support.f5.com/csp/article/K02566623
本通報由CNNVD技術支撐單位——內蒙古奧創科技有限公司、北京啟明星辰信息安全技術有限公司、北京華云安信息技術有限公司、北京奇虎科技有限公司、浪潮電子信息產業股份有限公司提供支持。
CNNVD將繼續跟蹤上述漏洞的相關情況,及時發布相關信息。如有需要,可與CNNVD聯系。聯系方式: cnnvd@itsec.gov.cn