您的当前位置: 首页 >>普通中专 >>网络安全与信息化 >>信息安全漏洞预警

关于F5 BIG-IP iControl REST存在身份认证绕过漏洞的安全公告

发布时间:2022-05-09 10:51 | 来源:国家信息安全漏洞共享平台 | 点击数:4393

安全公告编号:CNTA-2022-0012

2022年5月7日,国家信息安全漏洞共享平台(CNVD)收录了F5 BIG-IP iControl REST身份认证绕过漏洞(CNVD-2022-35519,对应CVE-2022-1388)。攻击者利用该漏洞,可在未授权的情况下执行任意系统命令,创建或删除文件以及禁用服务。目前,漏洞利用细节已公开,厂商已发布补丁完成修复。

一、漏洞情况分析

F5 BIG-IP是美国F5公司一款集成网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台(ADN)。F5 BIG-IP充分利用了F5的TMOS构架,改进了链路性能,同时提供较为灵活的状态检查功能。

2022年5月7日,国家信息安全漏洞共享平台(CNVD)收录了F5 BIG-IP iControl REST身份认证绕过漏洞。由于iControl REST组件的身份认证功能存在绕过缺陷,导致授权访问机制失效。未经身份认证的攻击者利用该漏洞,通过向BIG-IP服务器发送恶意构造请求,绕过身份认证,在目标系统上执行任意系统命令,创建或删除文件以及禁用服务等操作。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括:

BIG-IP 16.x: 16.1.0-16.1.2

BIG-IP 15.x: 15.1.0-15.1.5

BIG-IP 14.x: 14.1.0-14.1.4

BIG-IP 13.x: 13.1.0-13.1.4

BIG-IP 12.x: 12.1.0-12.1.6

BIG-IP 11.x: 11.6.1-11.6.5

三、漏洞处置建议

目前,F5公司已发布新版本修复该漏洞,CNVD建议用户立即升级至最新版本:

https://support.f5.com/csp/article/K55879220

临时解决方案如下:

1、设置白名单限制对iControl REST组件访问;

2、通过管理界面将访问限制为仅受信任的用户和设备;

3、参考官方建议修改 BIG-IP httpd配置限制对iControl REST组件访问。

 

附:参考链接:

https://support.f5.com/csp/article/K55879220

 

感谢北京知道创宇信息技术股份有限公司、深信服科技股份有限公司、新华三技术有限公司、杭州安恒信息技术股份有限公司、亚信科技(成都)有限公司和北京天融信网络安全技术有限公司为本报告提供的技术支持。

(编辑:CNVD)


友情链接

学校概况|新闻中心|德育之窗|教育科研|示范校建设|普通中专|党的建设| 信息公开|招生信息|继续教育|电子商务|下载专区

地址:兰州市城关区盐场路校本部、兰州市七里河区西果园校区、武威市黄羊镇校区  邮编:730046  电话:0931-7847318
ICP备案编号:陇ICP备14000533号-2  版权所有:华体网页版(甘肃省广播电视大学农垦分校)  甘公网安备 62010202001457号