【漏洞风险预警】F5 BIG-IP iControl REST 身份验证绕过漏洞(CVE-2022-1388)
一、漏洞详情
2022年05月05日,F5官方发布了CVE-2022-1388 F5 BIG-IP iControl REST 远程代码执行漏洞。漏洞等级:严重,漏洞评分:9.8。
F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。iControl REST 是iControl 框架的演变,使用 REpresentational State Transfer (REST)。这允许用户或脚本与 F5 设备之间进行轻量级、快速的交互。
CVE-2022-1388 中,攻击者可在无需身份认证的情况下调用相关Rest API,从而执行任意命令。
截止 2022年5月7日,互联网上尚未披露相关利用脚本
漏洞详情:https://support.f5.com/csp/article/K23605346
CVE:CVE-2022-1388披露时间:2022-05-05 00:00:00 组件: F5 BIG-IP iControl REST CVSS:None危险等级:严重 漏洞类型: 身份验证绕过 漏洞特征:远程代码执行 威胁等级: 严重 影响: 命令执行 影响面: 广泛 攻击者价值:高 利用难度: 低
简述: 该漏洞允许未经身份验证的攻击者通过管理端口或自身 IP 地址对 BIG-IP 系统进行网络访问,以执行任意系统命令、创建或删除文件以及禁用BIG-IP上的服务。
二、影响版本
受影响版本:
F5 BIG-IP 16.1.0-16.1.2 F5 BIG-IP 15.1.0-15.1.5 F5 BIG-IP 14.1.0-14.1.4 F5 BIG-IP 13.1.0-13.1.4 F5 BIG-IP 12.1.0-12.1.6 F5 BIG-IP 11.6.1-11.6.5
其中版本12.1.0-12.1.6和11.6.1-11.6.5可能将不会受到修复。
安全版本:
F5 BIG-IP 17.0.0 F5 BIG-IP 16.1.2.2 F5 BIG-IP 15.1.5.1 F5 BIG-IP 14.1.4.6 F5 BIG-IP 13.1.5
具体参考F5官方安全公告:
https://support.f5.com/csp/article/K23605346
三、修复建议
目前漏洞POC暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,官方已发布安全更新,建议部署相关产品的用户及时测试并升级到漏洞修复的版本。
1、建议相关使用客户请尽快升级 F5 BIG-IP 至最新版本。
相关版本升级信息可参考 https://support.f5.com/csp/article/K23605346
2、若暂无法升级,可利用相关安全策略设置 F5 BIG-IP iControl REST 对可信地址开放。
临时缓解措施:
在可以安装固定版本之前,可使用以下部分作为临时缓解措施。这些缓解措施将对iControl REST的访问限制为仅受信任的网络或设备,从而限制了攻击面。
1.通过自有 IP 地址阻止对BIG-IP系统的iControl REST接口的所有访问;
2.通过管理界面将访问限制为仅受信任的用户和设备;
3.参考官方给出的建议操作修改 BIG-IP httpd 配置。
免责声明:本文上述内容收集于互联网,如果有不妥之处,敬请谅解。如有侵权内容,请联系本文作者进行删除。
四、漏洞检测脚本
检测脚本来自Github
curl -sk --max-time 2 "https://${F5_HOST_IP}/mgmt/shared/authn/login" | egrep "message|resterrorresponse" | jq
如图所示,有回显的说明存在漏洞,请及时进行修复或者使用缓解措施
