最后更新于2022年5月9日星期一17:57:00 GMT
2022年5月4日,F5上映 an advisory 列出了几个漏洞,包括 CVE-2022-1388, 一个关键的身份验证绕过,导致在iControl REST中远程执行代码,CVSSv3基本得分为9.8.
该漏洞影响了17之前的几个不同版本的BIG-IP.0.0, including:
- F5 BIG-IP 16.1.0 - 16.1.2 (patched in 16.1.2.2)
- F5 BIG-IP 15.1.0 - 15.1.5 (patched in 15.1.5.1)
- F5 BIG-IP 14.1.0 - 14.1.4 (patched in 14.1.4.6)
- F5 BIG-IP 13.1.0 - 13.1.4 (patched in 13.1.5)
- F5 BIG-IP 12.1.0 - 12.1.6(没有可用的补丁,不会修复)
- F5 BIG-IP 11.6.1 - 11.6.5(没有可用的补丁,不会修复)
On Monday, May 9, 2022, Horizon3 released a full proof of concept,我们成功地执行了它以获得根shell. Other groups have developed exploits as well.
Over the past few days, BinaryEdge 已经检测到 扫描和开发 for F5 BIG-IP. 推特上的其他人也这么做了 观察到的攻击企图. 因为利用这个漏洞很容易, the public exploit code, 事实上,它提供了根访问, 开发企图可能会增加.
少数面向互联网的F5 BIG-IP设备在一定程度上减轻了广泛的利用, however; our best guess is that there are only 互联网上大约有2500个目标.
Mitigation guidance
F5客户应该尽可能快地修补他们的BIG-IP设备 F5的升级说明. Additionally, F5 BIG-IP设备(以及任何类似设备)的管理端口应该在网络级别严格控制——只有授权用户才能访问管理接口.
F5 also 作为他们的建议的一部分,提供了一个解决方案. 如果修补和网络分段是不可能的,变通方法应该防止利用. 我们总是建议打补丁,而不是仅仅依靠变通方法.
攻击尝试至少出现在 two different log files:
- /var/log/audit
- /var/log/restjavad-audit.0.log
因为这个漏洞是一个根漏洞, 成功的开采可能很难恢复. At a minimum, 受影响的BIG-IP设备应该从头开始重建, 证书和密码应该轮换.
Rapid7 customers
InsightVM和expose客户可以使用经过验证的 vulnerability check 在2022年5月5日的内容发布. 此版本还包括针对F5中其他cve的身份验证漏洞检查 2022年5月安全咨询.
Additional reading:
