近日,全球应用交付(ADN)领导者F5Corporation发布安全警报,称其研究团队检测到一个严重漏洞正在被积极利用。漏洞跟踪代码为CVE-2022-1388,CVSS3.0评分为9.8,属于极高风险级别。该漏洞允许未经身份验证的网络攻击者执行任意系统命令、执行文件操作以及禁用BIG-IP上的服务。根据F5的安全研究,该漏洞存在于iControlREST组件中,允许攻击者发送未公开的请求以绕过BIG-IP中的iControlREST身份验证。由于漏洞的严重性和BIG-IP产品的广泛使用,CISA(美国网络安全和基础设施安全局)也发布了警告。受影响产品的完整列表如下:BIG-IP版本16.1.0至16.1.2BIG-IP版本15.1.0至15.1.5BIG-IP版本14.1.0至14.1.4BIG-IP版本13.1.0至13.1.4BIG-IP版本12.1.0至12.1.6BIG-IP版本11.6.1至11.6.5F5据该公司称,目前提供v17.0.0、v16.1.2.2、v15.1.5.1、v14.1.4版本。6和v13.1.5引入了修复补丁。版本12.x和11.x可能不会得到修复。此外,在安全报告中,研究人员特别指出BIG-IQCentralizedManagement、F5OS-A、F5OS-C和TrafficSDC不会受到CVE-2022-1388的影响。对于暂时无法进行安全更新的用户,F5提供了以下3种有效的缓解措施:阻止所有通过自身IP地址访问BIG-IP系统的iControlREST接口;仅通过管理界面用户和设备限制对受信任的访问;修改BIG-IPhttpd配置。在F5发布的安全报告中,我们可以看到上述操作是如何完成的所有细节。但是某些方法(例如完全阻止访问)可能会对服务产生影响,包括破坏高可用性(HA)配置。因此,如果可以的话,安全更新仍然是最好的选择。由于F5BIG-IP设备被企业广泛使用,此漏洞为攻击者获得对企业网络的初始访问权带来了重大风险。作为回应,F5发布了一份更通用的安全报告,其中涵盖了在BIG-IP中发现并修复的17个额外的高危漏洞。更糟糕的是,自2020年以来,安全研究员NateWarfield发现公开暴露的BIG-IP设备数量显着增加,而企业妥善保护的设备数量却没有。根据Warfield分享的查询,在搜索引擎Shodan上,我们可以看到目前公开暴露在互联网上的F5BIG-IP设备总数为16,142台。这些设备大部分位于美国,其次是中国、印度、澳大利亚和日本。既然安全研究人员已经开始缩小漏洞检测范围,我们可能很快就会看到攻击者如何扫描易受攻击的设备。在报告的最后,研究人员建议管理员确保为设备打补丁,或采取报告中推荐的方法来减轻漏洞的影响。参考来源:https://www.bleepingcomputer.com/news/security/f5-warns-of-critical-big-ip-rce-bug-allowing-device-takeover/
