F5 BIG-IP & BIG-IQ 多个远程代码执行漏洞

0x00 漏洞概述

2021年03月10日，F5发布安全公告，公开了其BIG-IP和BIG-IQ中的多个安全漏洞，其中包括4个严重的RCE漏洞，经过身份验证或未经验证的攻击者可以通过利用这些漏洞远程执行代码。

F5 BIG-IP是一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IQ是一套基于软件的云管理解决方案，该方案支持客户跨公共和私有云、传统数据中心和混合环境部署应用交付和网络服务。

0x01 漏洞详情

F5 Networks是全球企业网络设备的领先提供商，其BIG-IP产品的客户包括政府、《财富》 500强公司、银行、互联网服务提供商以及Microsoft、Oracle、Facebook等大型企业，该公司表示，“财富50强中有48家依赖F5”。

本次F5公开的漏洞如下：

4个严重RCE漏洞详情如下：

iControl REST远程代码执行漏洞（CVE-2021-22986）

该漏洞存在于iControl REST中，其CVSSv3评分为9.8。成功利用此漏洞的攻击者可以通过BIG-IP管理接口和自带IP地址未授权访问iControl REST接口，以执行任意系统命令、创建或删除文件、禁用服务等，最终导致系统被完全破坏。设备模式下的BIG-IP也存在此漏洞，但该漏洞只能通过控制层面利用，不能通过数据层面利用。

TMUI远程命令执行漏洞（CVE-2021-22987）

在设备模式下运行时，流量管理用户界面（TMUI）（也称为配置实用程序）在未公开的页面中存在经过身份验证的远程命令执行漏洞，其CVSSv3评分9.9。经过身份验证的攻击者可以通过BIG-IP管理端口或自身IP地址访问TMUI，以执行任意系统命令、创建或删除文件、禁用服务，最终导致系统完全受损并破坏设备模式，此漏洞只能通过控制层面利用，而不能通过数据层面利用。

TMM缓冲区溢出漏洞（CVE-2021-22991）

流量管理微内核（TMM）URI规范化可能会错误地处理对虚拟服务器的未公开请求，这可能会触发缓冲区溢出，从而导致DoS攻击。在某些情况下，该漏洞允许攻击者绕过基于URL的访问控制或远程执行代码，其CVSSv3评分9.0。

Advanced WAF/ASM缓冲区溢出漏洞（CVE-2021-22992）

在策略中配置了Login Page的Advanced WAF/ASM虚拟服务器在响应恶意HTTP时可能会触发缓冲区溢出，其CVSSv3评分9.0。

攻击者必须能够控制后端网络服务器（pool members），或者能够操纵服务器端对虚拟服务器的HTTP响应，才能利用此漏洞。成功利用此漏洞的攻击者可能会导致BIG-IP Advanced WAF/ASM系统遭到拒绝服务（DoS）攻击，甚至可能在BIG-IP Advanced WAF/ASM系统上执行任意代码。此漏洞只能通过数据层面利用，而不能通过控制层面利用。

0x02 处置建议

鉴于这些漏洞的严重性，建议尽快安装修复版本。以下BIG-IP版本修复了本次公开的7个漏洞：

16.0.1.1、15.1.2.1、14.1.4、13.1.3.6、12.1.5.3和11.6.5.3。

此外，CVE-2021-22986漏洞也影响BIG-IQ，该漏洞已在8.0.0、7.1.0.3和7.0.0.2中修复。

下载链接：

https://support.f5.com/csp/article/K02566623

0x03 参考链接

https://support.f5.com/csp/article/K02566623

https://support.f5.com/csp/article/K18132488

https://www.bleepingcomputer.com/news/security/f5-urges-customers-to-patch-critical-big-ip-pre-auth-rce-bug/

0x04 时间线

2021-03-10  F5发布安全公告

2021-03-11  VSRC发布安全通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

本文始发于微信公众号（维他命安全）：F5 BIG-IP & BIG-IQ 多个远程代码执行漏洞