报告编号:B6-2021-031901
报告来源:360CERT
报告作者:360CERT
更新日期:2021-03-19
0x01更新概览
2021年03月19日,360CERT监测发现CVE-2021-22986的 POC 已经公开。本次更新漏洞状态及复现截图。
具体更新详情可参考漏洞详情。
0x02漏洞简述
2021年03月11日,360CERT监测发现F5发布了F5 BIG-IQ/F5 BIG-IP 代码执行,代码执行的风险通告,该漏洞编号为CVE-2021-22986,CVE-2021-22987,CVE-2021-22992.CVE-2021-22991,漏洞等级:严重,漏洞评分:9.8。
0x03风险等级
360CERT对该漏洞的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 严重 |
| 影响面 | 广泛 |
| 360CERT评分 | 9.8 |
0x04漏洞详情
CVE-2021-22986: 代码执行漏洞
该漏洞允许未经身份验证的攻击者通过BIG-IP管理界面和自身IP地址对iControl REST接口进行网络访问,以执行任意系统命令,创建或删除文件以及禁用服务。该漏洞只能通过控制界面利用,而不能通过数据界面利用。
目前360CERT利用公开的poc,已经成功复现该漏洞,复现截图如下:
CVE-2021-22987: 代码执行漏洞
当以设备模式运行时,该漏洞允许经过身份验证的用户通过BIG-IP管理端口或自身IP地址对配置实用程序进行网络访问,以执行任意系统命令,创建或删除文件或禁用服务。该漏洞只能通过控制界面利用,而不能通过数据界面利用。漏洞利用可能导致系统完全受损并破坏设备模式。
CVE-2021-22991: 缓冲区溢出漏洞
流量管理微内核(Traffic Management Microkernel, TMM) URI 的规范化可能会错误地处理对虚拟服务器的请求,从而触发缓冲区溢出,导致DoS攻击。在某些情况下,它可能绕过基于URL的访问控制或造成远程代码执行。该漏洞只能通过控制界面利用,而不能通过数据界面利用。
CVE-2021-22992:缓冲区溢出漏洞
对在登录页面的策略中配置了Advanced WAF / ASM虚拟服务器的恶意HTTP响应可能会触发缓冲区溢出,从而导致DoS攻击。在某些情况下,可能造成远程代码执行。该漏洞只能通过控制界面利用,而不能通过数据界面利用。
0x05影响版本
CVE-2021-22986
BIG-IP:
- 16.0.0-16.0.1
- 15.1.0-15.1.2
-14.1.0-14.1.3.1
- 13.1.0-13.1.3.5
- 12.1.0-12.1.5.2
BIG-IQ:
- 7.1.0-7.1.0.2
- 7.0.0-7.0.0.1
- 6.0.0-6.1.0
CVE-2021-22987/CVE-2021-22992
BIG-IP:
- 16.0.0-16.0.1
- 15.1.0-15.1.2
- 14.1.0-14.1.3.1
- 13.1.0-13.1.3.5
- 12.1.0-12.1.5.2
- 11.6.1-11.6.5.2
CVE-2021-22991
BIG-IP:
- 16.0.0-16.0.1
- 15.1.0-15.1.2
- 14.1.0-14.1.3.1
- 13.1.0-13.1.3.5
- 12.1.0-12.1.5.2
0x06修复建议
通用修补建议
CVE-2021-22987/CVE-2021-22992:
BIG-IP16.0.0 - 16.0.1版本升级到16.0.1.1
BIG-IP15.1.0 - 15.1.2版本升级到15.1.2.1
BIG-IP14.1.0 - 14.1.3版本升级到14.1.4
BIG-IP13.1.0 - 13.1.3版本升级到13.1.3.6
BIG-IP12.1.0 - 12.1.5版本升级到12.1.5.3
BIG-IP11.6.1 - 11.6.5版本升级到11.6.5.3
CVE-2021-22986:
BIG-IP16.0.0 - 16.0.1版本升级到16.0.1.1
BIG-IP15.1.0 - 15.1.2版本升级到15.1.2.1
BIG-IP14.1.0 - 14.1.3版本升级到14.1.4
BIG-IP13.1.0 - 13.1.3版本升级到13.1.3.6
BIG-IP12.1.0 - 12.1.5版本升级到12.1.5.3
BIG-IQ7.1.0/7.0.0对应升级到7.1.0.3/7.0.0.2,或者升级到8.0版本
CVE-2021-22991:
BIG-IP16.0.0 - 16.0.1版本升级到16.0.1.1
BIG-IP15.1.0 - 15.1.2版本升级到15.1.2.1
BIG-IP14.1.0 - 14.1.3版本升级到14.1.4
BIG-IP13.1.0 - 13.1.3版本升级到13.1.3.6
BIG-IP12.1.0 - 12.1.5版本升级到12.1.5.3
临时修补建议
CVE-2021-22986
- 通过自身IP地址禁止访问iControl REST:将系统中每个自身IP地址的Port Lockdown选项设置更改为Allow None。如果必须开放某端口,则开启Allow Custom选项。默认情况下,iControl REST监听443端口。
- 通过管理接口禁止访问iControl REST:将管理访问权限限制为受信任用户和设备。
CVE-2021-22987
- 通过自身IP地址阻止访问BIG-IP系统配置实用程序:将系统上每个自身IP地址的Port Lockdown选项设置更改为Allow None。如果必须开放某端口,则开启Allow Custom选项。默认情况下,配置实用程序监听443端口。
- 通过管理接口禁止访问配置实用程序:将管理访问权限限制为受信任用户和F5设备。
CVE-2021-22992
- 使用iRule缓解恶意连接:
\1. 登录配置实用程序
\2. 找到Local Traffic > iRules > iRule List
\3. 选择Create
\4. 输入iRule的名称
\5. 为了定义,添加以下iRule代码:
# Mitigation for K52510511: Advanced WAF/ASM Buffer Overflow vulnerability CVE-2021-22992
when RULE_INIT {
# Set static::debug 1 to enable debug logging.
set static::debug 0
set static::max_length 4000
}
when HTTP_REQUEST {
if {$static::debug}{
set LogString "Client [IP::client_addr]:[TCP::client_port] -> [HTTP::host][HTTP::uri]"
}
set uri [string tolower [HTTP::uri]]
}
when HTTP_RESPONSE {
set header_names [HTTP::header names]
set combined_header_name [join $header_names ""]
set combined_header_name_len [string length $combined_header_name]
if {$static::debug}{
log local0. "=================response======================"
log local0. "$LogString (response)"
log local0. "combined header names: $combined_header_name"
foreach aHeader [HTTP::header names] {
log local0. "$aHeader: [HTTP::header value $aHeader]"
}
log local0. "the length of the combined response header names: $combined_header_name_len"
log local0. "============================================="
}
if { ( $combined_header_name_len > $static::max_length ) } {
log local0. "In the response of '$uri', the length of the combined header names $combined_header_name_len exceeds the maximum value $static::max_length. See K52510511: Advanced WAF/ASM Buffer Overflow vulnerability CVE-2021-22992"
HTTP::respond 502 content "<HTML><HEAD><TITLE>Bad Gateway</TITLE></HEAD> <BODY><P>The server response is invalid. Please inform the administrator. Error: K52510511</P></BODY></HTML>"
}
}
\6. 选择Finished
\7. 将iRule与受影响的虚拟服务器相关联
- 修改登录界面配置:
\1. 登录到受影响的BIG-IP Advanced WAF / ASM系统的配置实用程序
\2. 找到Security > Application Security > Sessions and Logins > Login Pages List
\3. 从Current edited policy lis中选择安全策略
\4. 从这两个设置中删除所有配置
\5. 选择保存以保存更改
\6. 选择Apply Policy,应用更改
\7. 选择OK确认操作
- 删除登陆界面:
\1. 登录到受影响的BIG-IP Advanced WAF / ASM系统的配置实用程序。
\2. 找到Security > Application Security > Sessions and Logins > Login Pages List
\3. 选择要删除的登录页面配置
\4. 选择Delete。
\5. 选择OK确认删除
\6. 选择Apply Policy,应用更改
\7. 选择OK确认操作
0x07相关空间测绘数据
360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现f5具体分布如下图所示。
0x08产品侧解决方案
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
0x09时间线
2021-03-10 F5官方发布通告
2021-03-11 360CERT发布通告
2021-03-18 POC公开
2021-03-19 360CERT更新通告
0x0a参考链接
1、 F5官方通告
https://support.f5.com/csp/article/K02566623
2、 F5从认证绕过到远程代码执行漏洞分析
https://blog.riskivy.com/f5%e4%bb%8e%e8%ae%a4%e8%af%81%e7%bb%95%e8%bf%87%e5%88%b0%e8%bf%9c%e7%a8%8b%e4%bb%a3%e7%a0%81%e6%89%a7%e8%a1%8c%e6%bc%8f%e6%b4%9e%e5%88%86%e6%9e%90/
0x0b特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。
【更新:POC公开】F5 多个严重漏洞通告
http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】【更新_POC公开】F5_多个严重漏洞通告.pdf
若有订阅意向与定制需求请扫描下方二维码进行信息填写,或发送邮件至g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。
转载自https://mp.weixin.qq.com/s/AK7bWXbms27cwUlJvnHdSA