F5 BIG-IP/BIG-IQ高危漏洞风险提示

根据公告，此次更新修复了F5 BIG-IP、BIG-IQ iControl REST未经身份验证的远程命令执行漏洞、F5 BIG-IP后台的远程命令执行漏洞和缓冲区溢出漏洞。未经身份验证的攻击者可通过构造恶意的请求利用CVE-2021-22986漏洞入侵受影响的F5系统，建议尽快安装安全更新补丁或采取临时缓解措施加固系统。

BIG-IP/ BIG-IQ iControl REST远程命令执行漏洞（CVE-2021-22986）影响范围，相关参考：https://support.f5.com/csp/article/K03009991

F5 BIG-IP 16.0.0-16.0.1 安全版本：16.0.1.1

F5 BIG-IP 15.1.0-15.1.2 安全版本：15.1.2.1

F5 BIG-IP 14.1.0-14.1.3.1 安全版本：14.1.4

F5 BIG-IP 13.1.0-13.1.3.5 安全版本：13.1.3.6

F5 BIG-IP 12.1.0-12.1.5.2 安全版本：12.1.5.3

F5 BIG-IQ 7.1.0-7.1.0.2 安全版本：8.0.0

F5 BIG-IQ 7.0.0-7.0.0.1 安全版本：7.1.0.3

F5 BIG-IQ 6.0.0-6.1.0 安全版本：7.0.0.2

BIG-IP TMUI 后台远程代码执行漏洞（CVE-2021-22987、CVE-2021-22988）、Advanced WAF/ASM TMUI 后台远程代码执行漏洞（CVE-2021-22989、CVE-2021-22990）、Advanced WAF/ASM缓冲区溢出漏洞（CVE-2021-22992）影响范围：

F5 BIG-IP 16.0.0-16.0.1 安全版本：16.0.1.1

F5 BIG-IP 15.1.0-15.1.2 安全版本：15.1.2.1

F5 BIG-IP 14.1.0-14.1.3.1 安全版本：14.1.4

F5 BIG-IP 13.1.0-13.1.3.5 安全版本：13.1.3.6

F5 BIG-IP 12.1.0-12.1.5.2 安全版本：12.1.5.3

F5 BIG-IP 11.6.1-11.6.5.2 安全版本：11.6.5.3

TMM缓冲区溢出漏洞（CVE-2021-22991）影响范围：

F5 BIG-IP 16.0.0-16.0.1 安全版本：16.0.1.1

F5 BIG-IP 15.1.0-15.1.2 安全版本：15.1.2.1

F5 BIG-IP 14.1.0-14.1.3.1 安全版本：14.1.4

F5 BIG-IP 13.1.0-13.1.3.5 安全版本：13.1.3.6

F5 BIG-IP 12.1.0-12.1.5.2 安全版本：12.1.5.3

通过安恒 SUMAP 平台对全球部署的F5 BIG-IP进行统计，最新查询 分布情况如下:

全球分布：

国内分布：

根据分析，CVE-2021-22986，为远程命令执行漏洞，此漏洞允许未经身份验证的攻击者通过BIG-IP管理界面和自身IP地址对iControl REST接口进行网络访问，可执行任意系统命令；

CVE-2021-22987、CVE-2021-22988，为远程命令执行漏洞，流量管理用户界面（TMUI）未公开的页面中存在远程命令执行漏洞，前提条件需要经身份验证才能利用此漏洞；

CVE-2021-22989、CVE-2021-22990，为远程命令执行漏洞，在配置了高级WAF或ASM的设备模式下运行时，流量管理用户界面（TMUI）未公开的页面中存在远程命令执行漏洞，前提条件需要经身份验证才能利用此漏洞；

CVE-2021-22991，为缓冲区溢出漏洞，F5 BIG-IP因流量管理微内核（TMM）URI规范化错误地处理对虚拟服务器的请求，导致缓冲区溢出造成远程代码执行或拒绝服务；

CVE-2021-22992，为缓冲区溢出漏洞，当F5 BIG-IP在策略中配置了高级WAF或ASM的设备模式下运行时，攻击者可构造恶意的HTTP请求触发缓冲区溢出，从而造成远程代码执行或拒绝服务。

高危：目前F5 BIG-IP、BIG -IQ漏洞细节已经部分公开，恶意攻击者也可以通过补丁对比方式分析出漏洞触发点，并进一步开发漏洞利用代码，目前安恒应急响应中心已监测到疑似攻击代码流出，建议及时测试安全更新补丁并应用安装和完善威胁识别、漏洞缓解措施。

处置：

1、及时升级F5 BIG-IP / BIG-IQ 升级至安全版本

2、配置访问控制策略，仅允许白名的IP访问F5管理界面。

安恒应急响应中心

2021年3月