国家漏洞库CNNVD：关于F5 BIG-IP多个安全漏洞的预警

近日，国家信息安全漏洞库（CNNVD）收到关于F5 BIG-IP 多个安全漏洞情况的报送。包括F5 BIG-IP安全漏洞（CNNVD-202103-770、CVE-2021-22986）、F5 BIG-IP安全漏洞（CNNVD-202103-772、CVE-2021-22987）等。攻击者可在未授权的情况下远程执行命令、创建或删除文件、开启或关闭服务等。F5 BIG-IP 16.0.0-16.0.1版本，15.1.0-15.1.2版本，14.1.0-14.1.3.1版本，13.1.0-13.1.3.5版本，12.1.0-12.1.5.2版本等多个版本均受此漏洞影响。目前，F5官方已经发布了修复漏洞的升级版本，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

一、漏洞介绍

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。2021年3月11日，F5官方发布了多个安全漏洞的公告。具体如下：

序号	漏洞名称	漏洞编号	漏洞简介
1	F5 BIG-IP 安全漏洞	CNNVD-202103-770、CVE-2021-22986	该漏洞允许未经身份验证的攻击者通过BIG-IP管理界面和自身IP地址对iControl REST接口进行网络访问，以执行任意系统命令，创建或删除文件以及禁用服务。
2	F5 BIG-IP 安全漏洞	CNNVD-202103-772、CVE-2021-22987	当以设备模式运行时，该漏洞允许经过身份验证的用户通过BIG-IP管理端口或自身IP地址访问TMUI，以执行任意系统命令，创建或删除文件以及禁用服务。
3	F5 BIG-IP 安全漏洞	CNNVD-202103-784、CVE-2021-22991	流量管理微内核(Traffic Management Microkernel, TMM) URI 的规范化可能会错误地处理对虚拟服务器的请求，从而触发缓冲区溢出，导致拒绝服务攻击。在一定条件下，可能绕过基于URL的访问控制，造成远程代码执行。
4	F5 BIG-IP 安全漏洞	CNNVD-202103-781、CVE-2021-22992	在策略中配置了Login Page的Advanced WAF/ASM虚拟服务器在响应恶意HTTP时可能会触发缓冲区溢出，从而导致拒绝服务攻击。在一定条件下，可能造成远程代码执行。

二、危害影响

F5BIG-IP在全球范围内拥有大量用户，主要分布在美国、中国、日本等国家。互联网检索发现，全球受影响的资产在3万左右，其中超过40%的用户在美国，共1.4万条使用记录，超过20%的设备在中国大陆，共8千余条使用记录。漏洞影响具体版本如下：

三、修复建议

目前，F5官方已经发布了修复漏洞的升级版本，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。官方升级地址如下：

https://support.f5.com/csp/article/K02566623

本通报由CNNVD技术支撑单位——内蒙古奥创科技有限公司、北京启明星辰信息安全技术有限公司、北京华云安信息技术有限公司、北京奇虎科技有限公司、浪潮电子信息产业股份有限公司提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: cnnvd@itsec.gov.cn

声明：本文来自CNNVD安全动态，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。