登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

F5 BIG-IP BIG-IQ多个高危漏洞 POC公开安全通告

【发布时间:2021-12-30】

https://bkimg.cdn.bcebos.com/pic/91529822720e0cf3e74178900746f21fbe09aa22?x-bce-process=image/resize,m_lfit,w_268,limit_1/format,f_jpg

威胁预警团队

2021/03/19


1. 漏洞综述

1.1 漏洞背景

F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。

2021年3月10日,F5官方发布了安全公告, 修复了CVE-2021-22986等七个严重高危漏洞。

2021年3月19日,新华三攻防实验室威胁预警团队监测到互联网上公开了CVE-2021-22986 远程代码执行漏洞的利用细节,该漏洞被黑客利用的风险大大增加。

1.2 漏洞详情

1、CVE-2021-22986 未授权远程命令执行漏洞

该漏洞是由于对HTTP请求的认证不完全,远程攻击者通过设置特殊的HTTP header来绕过权限认证并访问BIG-IP的REST API从而执行任意系统命令,创建或删除文件以及禁用服务。

2、CVE-2021-22987授权远程命令执行漏洞

当以设备模式运行时,经过身份验证的用户可以利用该漏洞对流量管理用户界面(TMUI)(也称为配置实用程序)进行恶意请求,以执行任意系统命令,创建或删除文件或禁用服务。

3、CVE-2021-22988授权远程代码执行漏洞

经过身份验证的攻击者使用控制界面利用此漏洞,通过BIG-IP管理端口或自身IP访问TMUI,可执行任意系统命令,创建或删除文件或禁用服务。

4、CVE-2021-22989授权远程命令执行漏洞

该漏洞需要经过是否验证后才能利用,攻击者通过BIG-IP管理端口或自身IP访问TMUI,可执行任意系统命令,创建或删除文件或禁用服务。设备模式Advanced WAF/ASM TMUI 远程命令执行漏洞(CVE-2021-22989):当在设备模式下配置了Advanced WAF或ASM时,具有管理员、资源管理员或应用程序安全管理员角色身份的攻击者通过BIG-IP管理端口或自身IP地址访问TMUI,可执行任意系统命令,创建或删除文件,或禁用服务。

5、CVE-2021-22990 授权远程命令执行漏

在配备了Advanced WAF或BIG-IP ASM的系统上,具有管理员、资源管理员或应用程序安全管理员角色身份的攻击者通过BIG-IP管理端口或自身IP地址访问TMUI,可执行任意系统命令,创建或删除文件,或禁用服务。

6、CVE-2021-22991缓冲区溢出漏洞

流量管理微内核(TMM)URI规范化可能会错误地处理对虚拟服务器的未公开请求,这可能会触发缓冲区溢出,从而导致DoS攻击。在某些情况下,它可以允许绕过基于URL的访问控制从而造成远程代码执行(RCE)。

7、CVE-2021-22992缓冲区溢出漏洞

对策略中配置了登录页面的Advanced WAF/BIG-IP ASM虚拟服务器的恶意HTTP响应可能会触发缓冲区溢出,从而导致DoS攻击。在某些情况下,可能会造成远程执行代码(RCE)。

1.3 漏洞复现

新华三威胁预警团队安全工程师对CVE-2021-22986漏洞进行了验证,通过向服务端发送恶意POST请求,成功在服务端执行命令。

2. 影响范围

受影响版本:

CVE-2021-22986 影响版本:

F5 BIG-IP 16.0.0-16.0.1

F5 BIG-IP 15.1.0-15.1.2

F5 BIG-IP 14.1.0-14.1.3.1

F5 BIG-IP 13.1.0-13.1.3.5

F5 BIG-IP 12.1.0-12.1.5.2

F5 BIG-IQ 7.1.0-7.1.0.2

F5 BIG-IQ 7.0.0-7.0.0.1

F5 BIG-IQ 6.0.0-6.1.0

CVE-2021-22987,CVE-2021-22988,CVE-2021-22989,CVE-2021-22990 ,CVE-2021-22991,CVE-2021-22992影响版本:

F5 BIG-IP 16.0.0-16.0.1

F5 BIG-IP 15.1.0-15.1.2

F5 BIG-IP 14.1.0-14.1.3.1

F5 BIG-IP 13.1.0-13.1.3.5

F5 BIG-IP 12.1.0-12.1.5.2

F5 BIG-IP 11.6.1-11.6.5.2

3. 解决方案

3.1 官方补丁

目前官方已经发布对应漏洞修复补丁,下载地址链接:

BIG-IP:https://support.f5.com/csp/article/K9502

BIG-IQ:https://support.f5.com/csp/article/K15113

3.2 临时缓解措施

若用户暂时无法安装补丁程序,可通过以下措施进行临时修复。

针对CVE-2021-22986漏洞:

禁止通过自身IP地址访问iControl REST:将系统中每个自身IP地址的Port Lockdown选项设置更改为Allow None。如果必须开放某端口,则开启Allow Custom选项。默认情况下,iControl REST监听443端口。

禁止通过管理接口访问iControl REST:将管理访问权限限制为受信任用户和设备。

针对CVE-2021-22987漏洞:

禁止通过自身IP地址访问BIG-IP系统配置实用程序:将系统上每个自身IP地址的Port Lockdown选项设置更改为Allow None。如果必须开放某端口,则开启Allow Custom选项。默认情况下,配置实用程序监听443端口。

禁止通过管理接口访问配置实用程序:将管理访问权限限制为受信任用户和F5设备。

针对CVE-2021-22992漏洞:

使用iRule缓解恶意连接:

1. 登录配置实用程序

2. 找到Local Traffic > iRules > iRule List

3. 选择Create

4. 输入iRule的名称

5. 为了定义,添加以下iRule代码:

# Mitigation for K52510511: Advanced WAF/ASM Buffer Overflow vulnerability CVE-2021-22992

when RULE_INIT {

# Set static::debug 1 to enable debug logging.

set static::debug 0

set static::max_length 4000

}

when HTTP_REQUEST {

if {$static::debug}{

set LogString "Client [IP::client_addr]:[TCP::client_port] -> [HTTP::host][HTTP::uri]"

}

set uri [string tolower [HTTP::uri]]

}

when HTTP_RESPONSE {

set header_names [HTTP::header names]

set combined_header_name [join $header_names ""]

set combined_header_name_len [string length $combined_header_name]

if {$static::debug}{

log local0. "=================response======================"

log local0. "$LogString (response)"

log local0. "combined header names: $combined_header_name"

foreach aHeader [HTTP::header names] {

log local0. "$aHeader: [HTTP::header value $aHeader]"

}

log local0. "the length of the combined response header names: $combined_header_name_len"

log local0. "============================================="

}

if { ( $combined_header_name_len > $static::max_length ) } {

log local0. "In the response of '$uri', the length of the combined header names $combined_header_name_len exceeds the maximum value $static::max_length. See K52510511: Advanced WAF/ASM Buffer Overflow vulnerability CVE-2021-22992"

HTTP::respond 502 content "<HTML><HEAD><TITLE>Bad Gateway</TITLE></HEAD> <BODY><P>The server response is invalid. Please inform the administrator. Error: K52510511</P></BODY></HTML>"

}

}

6. 选择Finished

7. 将iRule与受影响的虚拟服务器相关联

修改登录界面配置:

1. 登录到受影响的BIG-IP Advanced WAF / ASM系统的配置实用程序

2. 找到Security > Application Security > Sessions and Logins > Login Pages List

3. 从Current edited policy lis中选择安全策略

4. 从这两个设置中删除所有配置

5. 选择保存以保存更改

6. 选择Apply Policy,应用更改

7. 选择OK确认操作

删除登陆界面:

1. 登录到受影响的BIG-IP Advanced WAF / ASM系统的配置实用程序。

2. 找到Security > Application Security > Sessions and Logins > Login Pages List

3. 选择要删除的登录页面配置

4. 选择Delete。

5. 选择OK确认删除

6. 选择Apply Policy,应用更改

7. 选择OK确认操作

3.2 H3C解决方案

1、新华三安全设备防护方案

新华三IPS规则库将在1.0.123支持对CVE-2021-22986漏洞的识别,其余漏洞将会持续进行跟踪,新华三全系安全产品可通过升级IPS特征库识别利用该漏洞的攻击流量,并进行主动拦截。

2、新华三态势感知解决方案

新华三态势感知已支持对CVE-2021-22986漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。

3、新华三云安全能力中心解决方案

新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。

4. 参考链接

https://support.f5.com/csp/article/K02566623

新华三官网
联系我们