0x00 风险概述
2022年5月4日,F5 Networks发布安全公告,修复了F5 BIG-IP 解决方案管理界面中的一个身份验证绕过漏洞(CVE-2022-1388),其CVSS评分为9.8。
0x01 攻击详情
该漏洞存在于BIG-IP iControl REST 身份验证组件中,可利用该漏洞在未经身份验证的情况下访问BIG-IP 系统,以执行任意系统命令、创建或删除文件、禁用服务等。
该漏洞非常容易被利用。目前该漏洞的PoC/EXP已在互联网上公开,并已发现被利用来投放webshell 以实现持久后门访问。
图片来源:Github
比如,安全研究人员观察到攻击者将 PHP webshell 投放到“/tmp/f5.sh”并将它们安装到“/usr/local/www/xui/common/css/”,安装后,payload被执行,然后从系统中删除。此外,其他研究人员也发现了通过CVE-2022-1388对管理界面进行大规模的利用,在不针对管理界面的攻击中也观察到了利用企图。
图片来源:互联网
0x02 风险等级
严重。
0x03 影响范围
受影响产品 |
分支 |
受影响版本 |
修复版本 |
BIG-IP(所有模块) |
17.x |
无 |
17.0.0 |
16.x |
16.1.0 - 16.1.2 |
16.1.2.2 |
|
15.x |
15.1.0 - 15.1.5 |
15.1.5.1 |
|
14.x |
14.1.0 - 14.1.4 |
14.1.4.6 |
|
13.x |
13.1.0 - 13.1.4 |
13.1.5 |
|
12.x |
12.1.0 - 12.1.6 |
无 |
|
11.x |
11.6.1 - 11.6.5 |
无 |
0x04 安全建议
鉴于该漏洞已被广泛公开,因此强烈建议管理员立即更新到上述修复版本。
暂时无法更新的用户可以应用F5提供的缓解措施:
-
通过自身 IP 地址阻止 iControl REST 访问
-
通过管理界面阻止 iControl REST 访问
-
修改 BIG-IP httpd 配置
参考链接:
https://support.f5.com/csp/article/K23605346
0x05 参考链接
https://support.f5.com/csp/article/K23605346
https://www.randori.com/blog/vulnerability-analysis-cve-2022-1388/
https://www.bleepingcomputer.com/news/security/hackers-exploiting-critical-f5-big-ip-bug-public-exploits-released/
0x06 版本信息
版本 |
日期 |
修改内容 |
V1.0 |
2022-05-10 |
首次发布 |
0x07 附录
原文始发于微信公众号(维他命安全):【风险通告】F5 BIG-IP iControl REST身份验证绕过漏洞(CVE-2022-1388 )
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论