close

奇安信CERT

致力於第一時間為企業級用戶提供安全風險通告和有效解決方案。



安全通告


近日,奇安信CERT監測到F5官方發布BIG-IP iControl REST 命令執行漏洞 (CVE-2022-1388)。未經身份驗證的遠程攻擊者可利用此漏洞執行任意系統命令。奇安信CERT已復現此漏洞,同時監測到已有PoC流出。經研判,此漏洞利用難度極低,影響較大。建議客戶儘快做好自查,及時更新至最新版本。

漏洞名稱

F5 BIG-IP iControl REST命令執行漏洞
公開時間
2022-05-05
更新時間
2022-05-09
CVE編號
CVE-2022-1388
其他編號
QVD-2022-6238
威脅類型
命令執行
技術類型
身份驗證繞過
廠商
F5
產品
BIG-IP
風險等級
奇安信CERT風險評級
風險等級
極危
藍色(一般事件)
現時威脅狀態
POC狀態
EXP狀態

在野利用狀態

技術細節狀態
已公開
未知
未知
未知

漏洞描述

F5 BIG-IP iControl REST 存在命令執行漏洞 (CVE-2022-1388)。該漏洞允許遠程未經身份驗證的攻擊者繞過iControl REST 服務身份驗證訪問內部敏感服務進而執行任意命令。

影響版本


16.1.0 <= BIG-IP 16.x <= 16.1.2
15.1.0 <= BIG-IP 15.x <= 15.1.5
14.1.0 <= BIG-IP 14.x <= 14.1.4
13.1.0 <= BIG-IP 13.x <= 13.1.4
12.1.0 <= BIG-IP 12.x <= 12.1.6
11.6.1 <= BIG-IP 11.x <= 11.6.5

不受影響版本


BIG-IP 17.0.0
BIG-IP 16.1.2.2
BIG-IP 15.1.5.1
BIG-IP 14.1.4.6
BIG-IP 13.1.5

其他受影響組件

奇安信CERT已成功復現F5 BIG-IP iControl REST 命令執行漏洞,復現截圖如下:


風險等級

奇安信 CERT風險評級為:極危

風險等級:藍色(一般事件)


影響範圍

16.1.0 <= BIG-IP 16.x <= 16.1.2

15.1.0 <= BIG-IP 15.x <= 15.1.5

14.1.0 <= BIG-IP 14.x <= 14.1.4

13.1.0 <= BIG-IP 13.x <= 13.1.4

12.1.0 <= BIG-IP 12.x <= 12.1.6

11.6.1 <= BIG-IP 11.x <= 11.6.5


處置建議

一、請儘快升級至以下安全版本,BIG-IP 11.x和BIG-IP 12.x系列沒有修復版本:

BIG-IP 17.0.0
BIG-IP 16.1.2.2
BIG-IP 15.1.5.1
BIG-IP 14.1.4.6
BIG-IP 13.1.5

二、若無法立即升級至安全版本,可採取以下緩解措施(詳細步驟可參考https://support.f5.com/csp/article/K23605346):

1. 通過自身 IP 地址阻止 iControl REST 訪問
2. 通過管理界面阻止 iControl REST 訪問
3. 修改 BIG-IP httpd 配置

除了通過自有 IP 地址和管理界面阻止訪問之外,或者如果這些選項在您的環境中不可行,則作為阻止訪問的替代方法,您可以修改 BIG-IP httpd 配置以緩解此問題。

對於BIG-IP 14.1.0 及更高版本:
a.輸入以下命令, 登錄 BIG-IP 系統的 TMOS Shell ( tmsh ):
tmsh
b.輸入以下命令 打開httpd配置進行編輯:
edit /sys httpd all-properties
c.找到以include none開頭的行並將none替換為以下文本:

注意:如果當前的include語句已經包含非none的配置,請將以下配置添加到當前配置的末尾,在現有的雙引號字符 (") 內。

"<If \"%{HTTP:connection} =~ /close/i \">RequestHeader set connection close</If><ElseIf \"%{HTTP:connection} =~ /keep-alive/i \">RequestHeader set connection keep-alive</ElseIf><Else> RequestHeader set connection close</Else>"
d.更新include語句後,使用ESC鍵退出編輯器交互模式,然後輸入以下命令保存更改:
:wq
e.在保存更改 (y/n/e) 提示下,選擇y以保存更改
f.輸入以下命令保存 BIG-IP 配置:
save /sys config

對於BIG-IP 14.0.0 及更早版本:

a.輸入以下命令登錄到BIG-IP 系統的tmsh:
tmsh
b.輸入以下命令 打開httpd配置進行編輯:
edit /sys httpd all-properties
c.找到以include none開頭的行並將none替換為以下文本:
注意:如果當前的include語句已經包含非none的配置,請將以下配置添加到當前配置的末尾,在現有的雙引號字符 ( " ) 內。
"RequestHeader set connection close"
d.更新include語句後,使用ESC鍵退出編輯器交互模式,然後輸入以下命令保存更改:
:wq
e.在保存更改 (y/n/e) 提示下,選擇y以保存更改
f.通過輸入以下命令保存 BIG-IP 配置:
save /sys config

產品解決方案

奇安信天眼產品解決方案

奇安信天眼新一代威脅感知系統在第一時間加入了該漏洞的檢測規則,請將規則包升級到3.0.0509.13333上版本。規則名稱:F5 BIG-IP iControl REST 遠程代碼執行漏洞 (CVE-2022-1388),規則ID:0x10020EF5。奇安信天眼流量探針(傳感器)升級方法:系統配置->設備升級->規則升級,選擇「網絡升級」或「本地升級」。

奇安信網神統一服務器安全管理平台更新入侵防禦規則庫

奇安信網神虛擬化安全輕代理版本將於5月10日發布入侵防禦規則庫2022.05.10版本,支持對F5 BIG-IP iControl REST 遠程代碼執行漏洞 (CVE-2022-1388)的防護,屆時請用戶聯繫技術支持人員獲取規則升級包對輕代理版本進行升級。

奇安信網神統一服務器安全管理平台將於5月10日發布入侵防禦規則庫10574版本,支持對F5 BIG-IP iControl REST 遠程代碼執行漏洞 (CVE-2022-1388)的防護,屆時請用戶聯繫技術支持人員獲取規則升級包對融合版本進行升級。

奇安信網站應用安全雲防護系統已更新防護特徵庫

奇安信網神網站應用安全雲防護系統已全面支持對F5 BIG-IP iControl REST 遠程代碼執行漏洞 (CVE-2022-1388)的防護。


參考資料

[1]https://support.f5.com/csp/article/K23605346


時間線

2022年5月9日,奇安信CERT發布安全風險通告

點擊閱讀原文

到奇安信NOX-安全監測平台查詢更多漏洞詳情

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()