【漏洞通告】F5 BIG-IP iControl REST身份验证绕过漏洞 CVE-2022-1388

F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。

2022 年 5 月 6 日，深信服安全团队监测到一则 F5 BIG-IP 组件存在 iControl REST 身份验证绕过漏洞的信息，漏洞编号：CVE-2022-1388，漏洞威胁等级：严重。

该漏洞是由于 iControl REST 的身份验证功能存在缺陷，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行身份验证绕过攻击，最终接管设备控制平台。

F5 BIG-IP 是一系列应用交付平台，具有负载均衡、流量管理、应用程序管理等多种功能。F5 BIG-IP iControl REST 存在身份验证绕过漏洞。此漏洞允许未经验证的攻击者对 BIG-IP 系统进行网络访问，以执行任意系统命令、创建或删除文件或禁用服务。

目前受影响的 F5 BIG-IP 版本：

16.1.0 <= F5 BIG-IP <= 16.1.2

15.1.0 <= F5 BIG-IP <= 15.1.5

14.1.0 <= F5 BIG-IP <= 14.1.4

13.1.0 <= F5 BIG-IP <= 13.1.4

12.1.0 <= F5 BIG-IP <= 12.1.6

11.6.1 <= F5 BIG-IP <= 11.6.5

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://downloads.f5.com

该临时修复建议存在一定风险，建议用户可根据业务系统特性审慎选择采用临时修复方案：

（1）通过自身 IP 地址阻止 iControl REST 访问

（2）通过管理界面阻止 iControl REST 访问

（3）修改 BIG-IP httpd 配置

具体操作详见官方文档：

https://support.f5.com/csp/article/K23605346

https://support.f5.com/csp/article/K23605346

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。