F5 BIG-IP 中存在严重的RCE漏洞

admin 2022年5月5日22:10:03安全新闻评论43 views1302字阅读4分20秒阅读模式

F5 BIG-IP 中存在严重的RCE漏洞 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士





本周三,云安全和应用交付网络 (APN) 提供商 F5 发布补丁,修复了43个产品漏洞。
F5 BIG-IP 中存在严重的RCE漏洞
F5 BIG-IP 中存在严重的RCE漏洞


其中,1个漏洞被评级为“严重”漏洞,17个为“高危”漏洞,24个为“中危”,1个为“低危”漏洞。其中“严重”漏洞的编号是CVE-2022-1388,CVSS评分为9.8,是因为缺少认证检查造成的,可能导致攻击者控制受影响系统。

F5 在安全公告中指出,“漏洞可导致具有BIG-IP系统网络访问权限的未认证攻击者通过管理端口和/或自己的IP地址,执行任意系统命令,创建或删除文件,或禁用服务。目前尚未有数据平面暴露情况,只是控制面板问题。”

该漏洞是内部发现的,影响如下 BIG-IP 产品版本:

  • 16.1.0 - 16.1.2

  • 15.1.0 - 15.1.5

  • 14.1.0 - 14.1.4

  • 13.1.0 - 13.1.4

  • 12.1.0 - 12.1.6

  • 11.6.1 - 11.6.5

iControl REST 认证绕过漏洞的补丁已包含在版本 17.0.0、16.1.2.2、15.1.5、14.1.4.6和13.1.5中。F5的其它产品如 BIG-IQ Centralized Management、F5OS-A、F5OS-C和 Traffix SDC 不受该漏洞影响。

F5 已发布临时缓解措施:

  • 拦截通过自IP地址的 iControl REST访问权限

  • 拦截通过管理接口的iControl REST 访问权限

  • 修改 BIG-IP httpd配置


其它漏洞

F5 BIG-IP 中存在严重的RCE漏洞


F5 修复的其它漏洞可导致认证攻击者绕过 Appliance 模式限制并在当前已登录用户上下文中执行任意 JavaScript 代码。

由于F5 设备广泛部署于企业网络中,因此组织机构应当快速行动应用补丁,防止威胁者利用该攻击向量获得初始访问权限。

在F5修复漏洞之前,CISA 在“已利用漏洞分类”中新增五个漏洞:

  • CVE-2021-1789 - Apple 多款产品类型混淆漏洞

  • CVE-2019-8506 - Apple 多款产品类型混淆漏洞

  • CVE-2014-4113 - Microsoft Win32k 提权漏洞

  • CVE-2014-0322 - Microsoft Internet Explorer 释放后使用漏洞

  • CVE-2014-0160 - OpenSSL 信息泄露漏洞





代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com






推荐阅读

F5紧急修复严重的 BIG-IP 预认证 RCE 漏洞
速修复!严重的F5 BIG-IP 漏洞 PoC 已发布
F5 以6.7亿美金收购 NGINX




原文链接

https://thehackernews.com/2022/05/critical-rce-bug-reported-in-dotcms.html


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




F5 BIG-IP 中存在严重的RCE漏洞
F5 BIG-IP 中存在严重的RCE漏洞

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   F5 BIG-IP 中存在严重的RCE漏洞 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):F5 BIG-IP 中存在严重的RCE漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月5日22:10:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  F5 BIG-IP 中存在严重的RCE漏洞 http://cn-sec.com/archives/976782.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: