【已复现】F5 BIG-IP iControl REST命令执行漏洞(CVE-2022-1388)安全风险通告

admin 2022年5月9日22:57:00安全文章评论109 views2887字阅读9分37秒阅读模式
【已复现】F5 BIG-IP iControl REST命令执行漏洞(CVE-2022-1388)安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



近日,奇安信CERT监测到F5官方发布BIG-IP iControl REST 命令执行漏洞 (CVE-2022-1388)。未经身份验证的远程攻击者可利用此漏洞执行任意系统命令。奇安信CERT已复现此漏洞,同时监测到已有PoC流出。经研判,此漏洞利用难度极低,影响较大。建议客户尽快做好自查,及时更新至最新版本。

漏洞名称

F5 BIG-IP iControl REST命令执行漏洞
公开时间
2022-05-05
更新时间
2022-05-09
CVE编号
CVE-2022-1388
其他编号
QVD-2022-6238
威胁类型
命令执行
技术类型
身份验证绕过
厂商
F5
产品
BIG-IP
风险等级
奇安信CERT风险评级
风险等级
极危
蓝色(一般事件)
现时威胁状态
POC状态
EXP状态

在野利用状态

技术细节状态
已公开
未知
未知
未知

漏洞描述


F5 BIG-IP iControl   REST 存在命令执行漏洞 (CVE-2022-1388)。该漏洞允许远程未经身份验证的攻击者绕过iControl REST 服务身份验证访问内部敏感服务进而执行任意命令。

影响版本


16.1.0 <= BIG-IP 16.x <=   16.1.2
15.1.0 <= BIG-IP 15.x <=   15.1.5
14.1.0 <= BIG-IP 14.x <=   14.1.4
13.1.0 <= BIG-IP 13.x <=   13.1.4
12.1.0 <= BIG-IP 12.x <=   12.1.6
11.6.1 <= BIG-IP 11.x <=   11.6.5

不受影响版本


BIG-IP 17.0.0
BIG-IP 16.1.2.2
BIG-IP 15.1.5.1
BIG-IP 14.1.4.6
BIG-IP 13.1.5

其他受影响组件

奇安信CERT已成功复现F5 BIG-IP iControl REST 命令执行漏洞,复现截图如下: 


【已复现】F5 BIG-IP iControl REST命令执行漏洞(CVE-2022-1388)安全风险通告



风险等级

奇安信 CERT风险评级为:极危

风险等级:蓝色(一般事件)



影响范围

16.1.0 <= BIG-IP 16.x <= 16.1.2

15.1.0 <= BIG-IP 15.x <= 15.1.5

14.1.0 <= BIG-IP 14.x <= 14.1.4

13.1.0 <= BIG-IP 13.x <= 13.1.4

12.1.0 <= BIG-IP 12.x <= 12.1.6

11.6.1 <= BIG-IP 11.x <= 11.6.5



处置建议

一、请尽快升级至以下安全版本,BIG-IP 11.x和BIG-IP 12.x系列没有修复版本:

BIG-IP 17.0.0
BIG-IP 16.1.2.2
BIG-IP 15.1.5.1
BIG-IP 14.1.4.6
BIG-IP 13.1.5


二、若无法立即升级至安全版本,可采取以下缓解措施(详细步骤可参考https://support.f5.com/csp/article/K23605346):

1. 通过自身 IP 地址阻止 iControl REST 访问
2. 通过管理界面阻止 iControl REST 访问
3. 修改 BIG-IP httpd 配置

除了通过自有 IP 地址和管理界面阻止访问之外,或者如果这些选项在您的环境中不可行,则作为阻止访问的替代方法,您可以修改 BIG-IP httpd 配置以缓解此问题。

对于BIG-IP 14.1.0 及更高版本:
a.输入以下命令, 登录 BIG-IP 系统的 TMOS Shell ( tmsh ):
tmsh
b.输入以下命令 打开httpd配置进行编辑:
edit /sys httpd all-properties
c.找到以include none开头的行并将none替换为以下文本:

注意:如果当前的include语句已经包含非none的配置,请将以下配置添加到当前配置的末尾,在现有的双引号字符 (") 内。

"<If "%{HTTP:connection} =~ /close/i ">RequestHeader set connection close</If><ElseIf "%{HTTP:connection} =~ /keep-alive/i ">RequestHeader set connection keep-alive</ElseIf><Else>    RequestHeader set connection close</Else>"


d.更新include语句后,使用ESC键退出编辑器交互模式,然后输入以下命令保存更改:
:wq
e.在保存更改 (y/n/e) 提示下,选择y以保存更改
f.输入以下命令保存 BIG-IP 配置:
save /sys config

对于BIG-IP 14.0.0 及更早版本:

a.输入以下命令登录到BIG-IP 系统的tmsh:
tmsh
b.输入以下命令 打开httpd配置进行编辑:
edit /sys httpd all-properties
c.找到以include none开头的行并将none替换为以下文本:
注意:如果当前的include语句已经包含非none的配置,请将以下配置添加到当前配置的末尾,在现有的双引号字符 ( " ) 内。
"RequestHeader set connection close"
d.更新include语句后,使用ESC键退出编辑器交互模式,然后输入以下命令保存更改:
:wq
e.在保存更改 (y/n/e) 提示下,选择y以保存更改
f.通过输入以下命令保存 BIG-IP 配置:
save /sys config


产品解决方案

奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0509.13333上版本。规则名称:F5 BIG-IP iControl REST 远程代码执行漏洞 (CVE-2022-1388),规则ID:0x10020EF5。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。


奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本将于5月10日发布入侵防御规则库2022.05.10版本,支持对F5 BIG-IP iControl REST 远程代码执行漏洞 (CVE-2022-1388)的防护,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。


奇安信网神统一服务器安全管理平台将于5月10日发布入侵防御规则库10574版本,支持对F5 BIG-IP iControl REST 远程代码执行漏洞 (CVE-2022-1388)的防护,届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。


奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全面支持对F5 BIG-IP iControl REST 远程代码执行漏洞 (CVE-2022-1388)的防护。


参考资料

[1]https://support.f5.com/csp/article/K23605346


时间线

2022年5月9日,奇安信CERT发布安全风险通告


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

原文始发于微信公众号(奇安信 CERT):【已复现】F5 BIG-IP iControl REST命令执行漏洞(CVE-2022-1388)安全风险通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月9日22:57:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【已复现】F5 BIG-IP iControl REST命令执行漏洞(CVE-2022-1388)安全风险通告 http://cn-sec.com/archives/993384.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: