F5 多个严重漏洞通告
报告编号:B6-2021-031101
报告来源:360CERT
报告作者:360CERT
更新日期:2021-03-11
0x01漏洞简述
2021年03月11日,360CERT监测发现F5
发布了F5 BIG-IQ/F5 BIG-IP 代码执行,代码执行
的风险通告,该漏洞编号为CVE-2021-22986,CVE-2021-22987,CVE-2021-22992.CVE-2021-22991
,漏洞等级:严重
,漏洞评分:9.8
。
F5 安全通告更新了 BIG-IP、BIG-IQ 中的多个严重漏洞。
对此,360CERT建议广大用户及时将f5 big-iq,f5 big-ip
升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x02风险等级
360CERT对该漏洞的评定结果如下
评定方式 | 等级 |
---|---|
威胁等级 | 严重 |
影响面 | 广泛 |
360CERT评分 | 9.8 |
0x03漏洞详情
CVE-2021-22986: 代码执行漏洞
该漏洞允许未经身份验证的攻击者通过BIG-IP
管理界面和自身IP地址对iControl REST
接口进行网络访问,以执行任意系统命令,创建或删除文件以及禁用服务。该漏洞只能通过控制界面利用,而不能通过数据界面利用。
CVE-2021-22987: 代码执行漏洞
当以设备模式运行时,该漏洞允许经过身份验证的用户通过BIG-IP管理端口或自身IP地址对配置实用程序进行网络访问,以执行任意系统命令,创建或删除文件或禁用服务。该漏洞只能通过控制界面利用,而不能通过数据界面利用。漏洞利用可能导致系统完全受损并破坏设备模式。
CVE-2021-22991: 缓冲区溢出漏洞
流量管理微内核(Traffic Management Microkernel, TMM) URI 的规范化可能会错误地处理对虚拟服务器的请求,从而触发缓冲区溢出,导致DoS攻击。在某些情况下,它可能绕过基于URL的访问控制或造成远程代码执行。该漏洞只能通过控制界面利用,而不能通过数据界面利用。
CVE-2021-22992:缓冲区溢出漏洞
对在登录页面的策略中配置了Advanced WAF / ASM
虚拟服务器的恶意HTTP响应可能会触发缓冲区溢出,从而导致DoS攻击。在某些情况下,可能造成远程代码执行。该漏洞只能通过控制界面利用,而不能通过数据界面利用。
0x04影响版本
CVE-2021-22986
BIG-IP:
- 16.0.0-16.0.1
- 15.1.0-15.1.2
-14.1.0-14.1.3.1
- 13.1.0-13.1.3.5
- 12.1.0-12.1.5.2
BIG-IQ:
- 7.1.0-7.1.0.2
- 7.0.0-7.0.0.1
- 6.0.0-6.1.0
CVE-2021-22987/CVE-2021-22992
BIG-IP:
- 16.0.0-16.0.1
- 15.1.0-15.1.2
- 14.1.0-14.1.3.1
- 13.1.0-13.1.3.5
- 12.1.0-12.1.5.2
- 11.6.1-11.6.5.2
CVE-2021-22991
BIG-IP:
- 16.0.0-16.0.1
- 15.1.0-15.1.2
- 14.1.0-14.1.3.1
- 13.1.0-13.1.3.5
- 12.1.0-12.1.5.2
0x05修复建议
通用修补建议
- CVE-2021-22987/CVE-2021-22992:
BIG-IP16.0.0 - 16.0.1
版本升级到16.0.1.1
BIG-IP15.1.0 - 15.1.2
版本升级到15.1.2.1
BIG-IP14.1.0 - 14.1.3
版本升级到14.1.4
BIG-IP13.1.0 - 13.1.3
版本升级到13.1.3.6
BIG-IP12.1.0 - 12.1.5
版本升级到12.1.5.3
BIG-IP11.6.1 - 11.6.5
版本升级到11.6.5.3
- CVE-2021-22986:
BIG-IP16.0.0 - 16.0.1
版本升级到16.0.1.1
BIG-IP15.1.0 - 15.1.2
版本升级到15.1.2.1
BIG-IP14.1.0 - 14.1.3
版本升级到14.1.4
BIG-IP13.1.0 - 13.1.3
版本升级到13.1.3.6
BIG-IP12.1.0 - 12.1.5
版本升级到12.1.5.3
BIG-IQ7.1.0/7.0.0
对应升级到7.1.0.3/7.0.0.2
,或者升级到8.0
版本
- CVE-2021-22991:
BIG-IP16.0.0 - 16.0.1
版本升级到16.0.1.1
BIG-IP15.1.0 - 15.1.2
版本升级到15.1.2.1
BIG-IP14.1.0 - 14.1.3
版本升级到14.1.4
BIG-IP13.1.0 - 13.1.3
版本升级到13.1.3.6
BIG-IP12.1.0 - 12.1.5
版本升级到12.1.5.3
临时修补建议
CVE-2021-22986
- 通过自身IP地址禁止访问iControl REST:将系统中每个自身IP地址的Port Lockdown
选项设置更改为Allow None
。如果必须开放某端口,则开启Allow Custom
选项。默认情况下,iControl REST
监听443端口。
- 通过管理接口禁止访问iControl REST:将管理访问权限限制为受信任用户和设备。
CVE-2021-22987
- 通过自身IP地址阻止访问BIG-IP系统配置实用程序:将系统上每个自身IP地址的Port Lockdown
选项设置更改为Allow None
。如果必须开放某端口,则开启Allow Custom
选项。默认情况下,配置实用程序监听443端口。
- 通过管理接口禁止访问配置实用程序:将管理访问权限限制为受信任用户和F5设备。
CVE-2021-22992
- 使用iRule缓解恶意连接:
\1. 登录配置实用程序
\2. 找到Local Traffic > iRules > iRule List
\3. 选择Create
\4. 输入iRule的名称
\5. 为了定义,添加以下iRule代码:
# Mitigation for K52510511: Advanced WAF/ASM Buffer Overflow vulnerability CVE-2021-22992
when RULE_INIT {
# Set static::debug 1 to enable debug logging.set static::debug 0set static::max_length 4000
}
when HTTP_REQUEST {if {$static::debug}{set LogString "Client [IP::client_addr]:[TCP::client_port] -> [HTTP::host][HTTP::uri]"
}set uri [string tolower [HTTP::uri]]
}
when HTTP_RESPONSE {set header_names [HTTP::header names]set combined_header_name [join $header_names ""]set combined_header_name_len [string length $combined_header_name]if {$static::debug}{log local0. "=================response======================"log local0. "$LogString (response)"log local0. "combined header names: $combined_header_name"foreach aHeader [HTTP::header names] {log local0. "$aHeader: [HTTP::header value $aHeader]"
}log local0. "the length of the combined response header names: $combined_header_name_len"log local0. "============================================="
}if { ( $combined_header_name_len > $static::max_length ) } {log local0. "In the response of '$uri', the length of the combined header names $combined_header_name_len exceeds the maximum value $static::max_length. See K52510511: Advanced WAF/ASM Buffer Overflow vulnerability CVE-2021-22992"
HTTP::respond 502 content "<HTML><HEAD><TITLE>Bad Gateway</TITLE></HEAD> <BODY><P>The server response is invalid. Please inform the administrator. Error: K52510511</P></BODY></HTML>"
}
}
\6. 选择Finished
\7. 将iRule与受影响的虚拟服务器相关联
- 修改登录界面配置:
\1. 登录到受影响的BIG-IP Advanced WAF / ASM系统的配置实用程序
\2. 找到Security > Application Security > Sessions and Logins > Login Pages List
\3. 从Current edited policy lis
中选择安全策略
\4. 从这两个设置中删除所有配置
\5. 选择保存以保存更改
\6. 选择Apply Policy
,应用更改
\7. 选择OK
确认操作
- 删除登陆界面:
\1. 登录到受影响的BIG-IP Advanced WAF / ASM系统的配置实用程序。
\2. 找到Security > Application Security > Sessions and Logins > Login Pages List
\3. 选择要删除的登录页面配置
\4. 选择Delete。
\5. 选择OK确认删除
\6. 选择Apply Policy
,应用更改
\7. 选择OK
确认操作
0x06相关空间测绘数据
360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现f5
具体分布如下图所示。
0x07产品侧解决方案
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
0x08时间线
2021-03-10 F5官方发布通告
2021-03-11 360CERT发布通告
0x09参考链接
1、 F5官方通告
https://support.f5.com/csp/article/K02566623
0x0a特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。
F5 多个严重漏洞通告
http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】F5_多个严重漏洞通告.pdf
若有订阅意向与定制需求请扫描下方二维码进行信息填写,或发送邮件至g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。
转载自https://mp.weixin.qq.com/s/_0I-UXqBO3kbT3f8QirfNA
F5 多个严重漏洞通告相关推荐
- 容器 root权限运行_【漏洞通告】Containerd容器逃逸漏洞通告 (CVE202015257)
2020年12月1日,Containerd发布更新,修复了一个可造成容器逃逸的漏洞CVE-2020-15257,并公开了相关说明.通过受影响的API接口,攻击者可以利用该漏洞以root权限执行代码,实 ...
- wordpress php执行短代码_【漏洞通告】PHP远程代码执行漏洞(CVE-2019-11043)
1.综述2019年9月14日至18举办的 Real World CTF中,国外安全研究员 Andrew Danau 在解决一道CTF题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常 ...
- windows server 2012 远程连不上_CVE20201350 | Windows DNS Server远程代码执行漏洞通告
0x00 漏洞概述 CVE ID CVE-2020-1350 时 间 2020-07-15 类 型 RCE 等 级 严重 远程利用 是 影响范围 0x01 漏洞详情 微软于 ...
- [转载] --- Fastjson1.2.68版及以下全版本远程代码执行漏洞通告
再这样,真的要放弃fastjson了 [安全通告]Fastjson <=1.2.68全版本远程代码执行漏洞通告 尊敬的腾讯云用户,您好! 近日,腾讯云安全运营中心监测到,Fastjson < ...
- OpenSSH 命令注入漏洞通告(CVE-2020-15778,Openssh <=8.3p1)
一.漏洞概要 2020年6月9日,研究人员Chinmay Pandya在Openssh中发现了一个漏洞,于7月18日公开.OpenSSH的8.3p1中的scp允许在scp.c远程功能中注入命令,攻击者 ...
- 【高危漏洞通告】Spring Framework 远程代码执行 (CVE-2022-22965)
[高危漏洞通告]Spring Framework 远程代码执行 (CVE-2022-22965)漏洞通告 一. 漏洞情况 Spring 框架(Framework)是一个开源的轻量级 J2EE 应 ...
- 存在弱口令漏洞_【安全漏洞通告】secnet安网的AC集中管理平台存在弱口令漏洞...
安全漏洞通告 INFORMATION secnet安网的AC集中管理平台存在弱口令漏洞 01 漏洞背景 广州安网通信技术有限公司(简称"安网通信")是一家提供网络安全设备,网络通讯 ...
- CVE-2020-16875: Microsoft Exchange远程代码执行漏洞通告
https://mp.weixin.qq.com/s/-Yo_EH30qJQbRRIk_1MK1g 360CERT 三六零CERT 9月9日 报告编号:B6-2020-090902 报告来源:360C ...
- 【更新1.0:PoC发布】CVE-2020-1350: Windows DNS Server蠕虫级远程代码执行漏洞通告
0x00 更新概览 2020年07月16日,360CERT监测到 FSecureLabs 发布了 PoC,可造成拒绝服务影响.本次更新标识该漏洞极易可能在短时间内出现大规模攻击态势. 具体更新详情可参 ...
最新文章
- iOS 设置UILabel 的内边距
- AJAX实现页面选项卡、隔行换色、弹出层功能代码
- 用yacc编写的算术运算计算器_Linux里隐藏的计算器,你知道它的奥秘吗?
- 并发基础知识:死锁和对象监视器
- 我的世界服务器显示英文,我的世界pixelmon服务器技能显示英文
- html带正方形项目列表,5种简单实用的css列表样式实例,可以直接用到项目中。...
- 项目lib上传maven仓库配置
- 【C++】一次遇到的需要加入const属性的情况
- freemark+html+jbig生成pdf文件
- f2fs学习笔记 - 8. f2fs 读文件
- 关闭华硕笔记本触摸屏
- 目前微型计算机硬件主要采用,目前使用的微型计算机硬件主要采用的电子器件是()。 A. 真空管 B. 晶体管 C. 大规模和超大规模集成电路...
- mysql 嵌入式linux版本_PHP专栏 : MySQL 数据库安装详细
- RS485串口Modbus设备联网解决方案
- PM_10 十大管理之项目沟通管理(七)和干系人管理(八)
- 三顿半、永璞、时萃,谁能成为下一个咖啡品类之王?
- cpu空载50度_单线程性能提升超50%!Arm新款服务器CPU要靠单核打天下?
- 鸿蒙系统王维,以少总多,意余于象——王维《终南山》赏析
- idea里面java文件只读,Java只读集合
- UEBA在信息安全领域的使用
热门文章
- gcc编译的四个过程
- Codeforces Round #636 (Div. 3) ——A. Candies 题解
- uni-app渲染Markdown之Towxml
- java 6 7 区别大吗_java基础(1)-比较jdk5,jdk6,jdk7的新特性
- 电脑连接wifi受限
- HTML5新特性及新标签归纳
- java阴阳师抽卡概率_阴阳师妖怪屋抽卡概率分析 平民抽卡心得分享
- 教育管理论文参考题目50例
- 采购人员面临的五大挑战
- 运行一个c语言程序主要包括哪些步骤,运行C语言程序的步骤.doc