漏洞公告
近日,安恒信息CERT监测到F5官方发布安全公告,其中修复了一个存在于BIG-IP iControl REST中的身份验证绕过漏洞(CVE-2022-1388)。该漏洞允许未经身份验证的攻击者通过管理端口或来源于本机的ip地址对BIG-IP系统进行网络访问,以执行任意系统命令、创建或删除文件以及禁用BIG-IP上的服务。参考链接:
https://support.f5.com/csp/article/K23605346
一
影响范围
受影响版本:
BIG-IP 16.1.0-16.1.2
BIG-IP 15.1.0-15.1.5
BIG-IP 14.1.0-14.1.4
BIG-IP 13.1.0-13.1.4
BIG-IP 12.1.0-12.1.6
BIG-IP 11.6.1-11.6.5
其中版本12.1.0-12.1.6和11.6.1-11.6.5可能将不会受到修复。
安全版本:
BIG-IP 17.0.0
BIG-IP 16.1.2.2
BIG-IP 15.1.5.1
BIG-IP 14.1.4.6
BIG-IP 13.1.5
通过安恒SUMAP平台对全球部署的F5 BIG-IP进行统计,最新查询分布情况如下:
全球分布:
国内分布:
二
漏洞描述
F5 BIG-IP iControl REST身份验证绕过漏洞(CVE-2022-1388): 根据分析,该漏洞可能允许未经身份验证的攻击者通过管理端口或来源于本机的ip地址对BIG-IP系统进行网络访问,以执行任意系统命令、创建或删除文件或禁用服务。
| 细节是否公开 | POC状态 | EXP状态 | 在野利用 |
| 是 | 未公开 | 未公开 | 未知 |
三
缓解措施
高危:目前漏洞POC暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,官方已发布安全更新,建议部署相关产品的用户及时测试并升级到漏洞修复的版本。
临时缓解措施:
在可以安装固定版本之前,可使用以下部分作为临时缓解措施。这些缓解措施将对iControl REST的访问限制为仅受信任的网络或设备,从而限制了攻击面。
1.通过自有 IP 地址阻止对BIG-IP系统的iControl REST接口的所有访问;
2.通过管理界面将访问限制为仅受信任的用户和设备;
3.参考官方给出的建议操作修改 BIG-IP httpd 配置。
安恒信息CERT
2022年5月
原文始发于微信公众号(安恒信息CERT):F5 BIG-IP iControl REST身份验证绕过漏洞风险提示(CVE-2022-1388)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论