安全通告
|
漏洞名称 |
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
||
|
|
|
||
|
|
|||
|
|
|
在野利用状态 |
|
|
|
|
|
|
|
漏洞描述 |
F5 BIG-IP iControl REST 存在命令执行漏洞 (CVE-2022-1388)。该漏洞允许远程未经身份验证的攻击者绕过iControl REST 服务身份验证访问内部敏感服务进而执行任意命令。 |
||
|
影响版本 |
|
||
|
不受影响版本 |
|
||
|
其他受影响组件 |
|
||
奇安信CERT已成功复现F5 BIG-IP iControl REST 命令执行漏洞,复现截图如下:
奇安信 CERT风险评级为:极危
风险等级:蓝色(一般事件)
16.1.0 <= BIG-IP 16.x <= 16.1.2
15.1.0 <= BIG-IP 15.x <= 15.1.5
14.1.0 <= BIG-IP 14.x <= 14.1.4
13.1.0 <= BIG-IP 13.x <= 13.1.4
12.1.0 <= BIG-IP 12.x <= 12.1.6
11.6.1 <= BIG-IP 11.x <= 11.6.5
一、请尽快升级至以下安全版本,BIG-IP 11.x和BIG-IP 12.x系列没有修复版本:
二、若无法立即升级至安全版本,可采取以下缓解措施(详细步骤可参考https://support.f5.com/csp/article/K23605346):
除了通过自有 IP 地址和管理界面阻止访问之外,或者如果这些选项在您的环境中不可行,则作为阻止访问的替代方法,您可以修改 BIG-IP httpd 配置以缓解此问题。
tmshedit /sys httpd all-properties注意:如果当前的include语句已经包含非none的配置,请将以下配置添加到当前配置的末尾,在现有的双引号字符 (") 内。
"<If "%{HTTP:connection} =~ /close/i ">RequestHeader set connection close</If><ElseIf "%{HTTP:connection} =~ /keep-alive/i ">RequestHeader set connection keep-alive</ElseIf><Else>RequestHeader set connection close</Else>"
:wqsave /sys config对于BIG-IP 14.0.0 及更早版本:
tmshedit /sys httpd all-properties"RequestHeader set connection close":wqsave /sys config
奇安信天眼产品解决方案
奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0509.13333上版本。规则名称:F5 BIG-IP iControl REST 远程代码执行漏洞 (CVE-2022-1388),规则ID:0x10020EF5。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
奇安信网神统一服务器安全管理平台更新入侵防御规则库
奇安信网神虚拟化安全轻代理版本将于5月10日发布入侵防御规则库2022.05.10版本,支持对F5 BIG-IP iControl REST 远程代码执行漏洞 (CVE-2022-1388)的防护,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。
奇安信网神统一服务器安全管理平台将于5月10日发布入侵防御规则库10574版本,支持对F5 BIG-IP iControl REST 远程代码执行漏洞 (CVE-2022-1388)的防护,届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全面支持对F5 BIG-IP iControl REST 远程代码执行漏洞 (CVE-2022-1388)的防护。
[1]https://support.f5.com/csp/article/K23605346
2022年5月9日,奇安信CERT发布安全风险通告
原文始发于微信公众号(奇安信 CERT):【已复现】F5 BIG-IP iControl REST命令执行漏洞(CVE-2022-1388)安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论