更新時間:2021/04/06 02:33:44
發佈時間:2021/04/06 02:33:44
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
1、漏洞說明[1]
F5於2021年3月10日發布安全更新,指出iControl REST介面存在未授權遠端程式碼執行漏洞。
此漏洞允許未經身份驗證的攻擊者經由網路連線至BIG-IP管理介面使用iControl REST介面,可以執行惡意系統命令,建立或刪除檔案以及中止服務。此漏洞只能藉由控制平面執行利用,而不能由資料平面利用。成功攻擊可導致系統遭全面控制。設備模式下的BIG-IP系統亦會遭此攻擊。
2.已揭露攻擊程式碼說明[2][3]
Packet Storm網站已公開此漏洞之POC程式碼。
3.影響平台:[1]
(1)BIG-IP
16.0: 16.0.1.1之前版本
15.1: 15.1.2.1之前版本
14.1: 14.1.4之前版本
13.1: 13.1.3.6之前版本
12.1: 12.1.5.3之前版本
(2)BIG-IQ
7.1.0: 7.1.0.3之前版本
7.0.0: 7.0.0.2之前版本
6.0及6.1所有版本
4.CVSS向量:
CVE-2021-22986[1]
分析分數:9.8
影響等級:3
參考來源 :F5
5.緩解措施[1]
(1)禁止設備本身IP位址存取 iControl REST介面
為每一個設備本身IP位址,修改Port Lockdown為Allow None,如果需開放連線port,必須設定Allow Custom選項。
注意:此設定會影響F5的部分功能,例如會解除系統的HA設定。
(2)限制管理介面存取iControl REST介面
限制僅可由信任的使用者及設備於安全的網路連線。
6.建議措施: [1]
請於評估完成後,於F5官網下載更新程式並執行修正。
參考連結:
1.F5
https://support.f5.com/csp/article/K03009991
2.NIST
https://nvd.nist.gov/vuln/detail/CVE-2021-22986#VulnChangeHistorySection
3.Packet Storm
https://packetstormsecurity.com/files/162066/F5-BIG-IP-16.0.x-Remote-Code-Execution.html
https://packetstormsecurity.com/files/162059/F5-iControl-Server-Side-Request-Forgery-Remote-Command-Execution.html
建議措施:
參考資料:
影響平台:
情資編號:
FISAC-202104-0009
系統目錄:
資安漏洞
資安類別:
資安訊息情資 / 其他
影響等級:
3
關鍵字:
弱點漏洞