F5 多个严重漏洞通告

报告编号：B6-2021-031101

报告来源：360CERT

报告作者：360CERT

更新日期：2021-03-11

0x01漏洞简述

2021年03月11日，360CERT监测发现F5发布了F5 BIG-IQ/F5 BIG-IP 代码执行,代码执行的风险通告，该漏洞编号为CVE-2021-22986,CVE-2021-22987,CVE-2021-22992.CVE-2021-22991，漏洞等级：严重，漏洞评分：9.8。

F5 安全通告更新了 BIG-IP、BIG-IQ 中的多个严重漏洞。

对此，360CERT建议广大用户及时将f5 big-iq,f5 big-ip升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

0x02风险等级

360CERT对该漏洞的评定结果如下

评定方式	等级
威胁等级	严重
影响面	广泛
360CERT评分	9.8

0x03漏洞详情

CVE-2021-22986: 代码执行漏洞

该漏洞允许未经身份验证的攻击者通过BIG-IP管理界面和自身IP地址对iControl REST接口进行网络访问，以执行任意系统命令，创建或删除文件以及禁用服务。该漏洞只能通过控制界面利用，而不能通过数据界面利用。

CVE-2021-22987: 代码执行漏洞

当以设备模式运行时，该漏洞允许经过身份验证的用户通过BIG-IP管理端口或自身IP地址对配置实用程序进行网络访问，以执行任意系统命令，创建或删除文件或禁用服务。该漏洞只能通过控制界面利用，而不能通过数据界面利用。漏洞利用可能导致系统完全受损并破坏设备模式。

CVE-2021-22991: 缓冲区溢出漏洞

流量管理微内核(Traffic Management Microkernel, TMM) URI 的规范化可能会错误地处理对虚拟服务器的请求，从而触发缓冲区溢出，导致DoS攻击。在某些情况下，它可能绕过基于URL的访问控制或造成远程代码执行。该漏洞只能通过控制界面利用，而不能通过数据界面利用。

CVE-2021-22992：缓冲区溢出漏洞

对在登录页面的策略中配置了Advanced WAF / ASM虚拟服务器的恶意HTTP响应可能会触发缓冲区溢出，从而导致DoS攻击。在某些情况下，可能造成远程代码执行。该漏洞只能通过控制界面利用，而不能通过数据界面利用。

0x04影响版本

CVE-2021-22986

BIG-IP：

- 16.0.0-16.0.1

- 15.1.0-15.1.2

-14.1.0-14.1.3.1

- 13.1.0-13.1.3.5

- 12.1.0-12.1.5.2

BIG-IQ：

- 7.1.0-7.1.0.2

- 7.0.0-7.0.0.1

- 6.0.0-6.1.0

CVE-2021-22987/CVE-2021-22992

BIG-IP：

- 16.0.0-16.0.1

- 15.1.0-15.1.2

- 14.1.0-14.1.3.1

- 13.1.0-13.1.3.5

- 12.1.0-12.1.5.2

- 11.6.1-11.6.5.2

CVE-2021-22991

BIG-IP：

- 16.0.0-16.0.1

- 15.1.0-15.1.2

- 14.1.0-14.1.3.1

- 13.1.0-13.1.3.5

- 12.1.0-12.1.5.2

0x05修复建议

通用修补建议

- CVE-2021-22987/CVE-2021-22992：

BIG-IP16.0.0 - 16.0.1版本升级到16.0.1.1

BIG-IP15.1.0 - 15.1.2版本升级到15.1.2.1

BIG-IP14.1.0 - 14.1.3版本升级到14.1.4

BIG-IP13.1.0 - 13.1.3版本升级到13.1.3.6

BIG-IP12.1.0 - 12.1.5版本升级到12.1.5.3

BIG-IP11.6.1 - 11.6.5版本升级到11.6.5.3

- CVE-2021-22986：

BIG-IP16.0.0 - 16.0.1版本升级到16.0.1.1

BIG-IP15.1.0 - 15.1.2版本升级到15.1.2.1

BIG-IP14.1.0 - 14.1.3版本升级到14.1.4

BIG-IP13.1.0 - 13.1.3版本升级到13.1.3.6

BIG-IP12.1.0 - 12.1.5版本升级到12.1.5.3

BIG-IQ7.1.0/7.0.0对应升级到7.1.0.3/7.0.0.2，或者升级到8.0版本

- CVE-2021-22991：

BIG-IP16.0.0 - 16.0.1版本升级到16.0.1.1

BIG-IP15.1.0 - 15.1.2版本升级到15.1.2.1

BIG-IP14.1.0 - 14.1.3版本升级到14.1.4

BIG-IP13.1.0 - 13.1.3版本升级到13.1.3.6

BIG-IP12.1.0 - 12.1.5版本升级到12.1.5.3

临时修补建议

CVE-2021-22986

- 通过自身IP地址禁止访问iControl REST：将系统中每个自身IP地址的Port Lockdown选项设置更改为Allow None。如果必须开放某端口，则开启Allow Custom选项。默认情况下，iControl REST监听443端口。

- 通过管理接口禁止访问iControl REST：将管理访问权限限制为受信任用户和设备。

CVE-2021-22987

- 通过自身IP地址阻止访问BIG-IP系统配置实用程序：将系统上每个自身IP地址的Port Lockdown选项设置更改为Allow None。如果必须开放某端口，则开启Allow Custom选项。默认情况下，配置实用程序监听443端口。

- 通过管理接口禁止访问配置实用程序：将管理访问权限限制为受信任用户和F5设备。

CVE-2021-22992

- 使用iRule缓解恶意连接：

\1. 登录配置实用程序

\2. 找到Local Traffic > iRules > iRule List

\3. 选择Create

\4. 输入iRule的名称

\5. 为了定义，添加以下iRule代码:

# Mitigation for K52510511: Advanced WAF/ASM Buffer Overflow vulnerability CVE-2021-22992
when RULE_INIT {
# Set static::debug 1 to enable debug logging.set static::debug 0set static::max_length 4000
}
when HTTP_REQUEST {if {$static::debug}{set LogString "Client [IP::client_addr]:[TCP::client_port] -> [HTTP::host][HTTP::uri]"
}set uri [string tolower [HTTP::uri]]
}
when HTTP_RESPONSE {set header_names [HTTP::header names]set combined_header_name [join $header_names ""]set combined_header_name_len [string length $combined_header_name]if {$static::debug}{log local0. "=================response======================"log local0. "$LogString (response)"log local0. "combined header names: $combined_header_name"foreach aHeader [HTTP::header names] {log local0. "$aHeader: [HTTP::header value $aHeader]"
}log local0. "the length of the combined response header names: $combined_header_name_len"log local0. "============================================="
}if { ( $combined_header_name_len > $static::max_length ) } {log local0. "In the response of '$uri', the length of the combined header names $combined_header_name_len exceeds the maximum value $static::max_length. See K52510511: Advanced WAF/ASM Buffer Overflow vulnerability CVE-2021-22992"
HTTP::respond 502 content "<HTML><HEAD><TITLE>Bad Gateway</TITLE></HEAD> <BODY><P>The server response is invalid. Please inform the administrator. Error: K52510511</P></BODY></HTML>"
}
}

\6. 选择Finished

\7. 将iRule与受影响的虚拟服务器相关联

- 修改登录界面配置：

\1. 登录到受影响的BIG-IP Advanced WAF / ASM系统的配置实用程序

\2. 找到Security > Application Security > Sessions and Logins > Login Pages List

\3. 从Current edited policy lis中选择安全策略

\4. 从这两个设置中删除所有配置

\5. 选择保存以保存更改

\6. 选择Apply Policy，应用更改

\7. 选择OK确认操作

- 删除登陆界面：

\1. 登录到受影响的BIG-IP Advanced WAF / ASM系统的配置实用程序。

\2. 找到Security > Application Security > Sessions and Logins > Login Pages List

\3. 选择要删除的登录页面配置

\4. 选择Delete。

\5. 选择OK确认删除

\6. 选择Apply Policy，应用更改

\7. 选择OK确认操作

0x06相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘，发现f5具体分布如下图所示。

0x07产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

0x08时间线

2021-03-10 F5官方发布通告

2021-03-11 360CERT发布通告

0x09参考链接

1、 F5官方通告

https://support.f5.com/csp/article/K02566623

0x0a特制报告下载链接

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT正式推出安全通告特制版报告，以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。

F5 多个严重漏洞通告

http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】F5_多个严重漏洞通告.pdf

若有订阅意向与定制需求请扫描下方二维码进行信息填写，或发送邮件至g-cert-report#360.cn ，并附上您的公司名、姓名、手机号、地区、邮箱地址。

转载自https://mp.weixin.qq.com/s/_0I-UXqBO3kbT3f8QirfNA