一、漏洞详情
F5 BIG-IP是美国F5公司一款集成网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台(ADN)。F5 BIG-IP充分利用了F5的TMOS构架,改进了链路性能,同时提供较为灵活的状态检查功能。
近期发现F5 BIG-IP iControl REST存在身份认证绕过漏洞。由于iControlREST组件的身份认证功能存在绕过缺陷,导致授权访问机制失效。未经身份认证的攻击者利用该漏洞,通过向BIG-IP服务器发送恶意构造请求,绕过身份认证,在目标系统上执行任意系统命令,创建或删除文件以及禁用服务等操作。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
BIG-IP 16.x: 16.1.0-16.1.2
BIG-IP 15.x: 15.1.0-15.1.5
BIG-IP 14.x: 14.1.0-14.1.4
BIG-IP 13.x: 13.1.0-13.1.4
BIG-IP 12.x: 12.1.0-12.1.6
BIG-IP 11.x: 11.6.1-11.6.5
三、修复建议
目前,F5公司已发布新版本修复该漏洞,建议用户立即升级至最新版本:
https://support.f5.com/csp/article/K55879220
临时解决方案如下:
1、设置白名单限制对iControl REST组件访问;
2、通过管理界面将访问限制为仅受信任的用户和设备;
3、参考官方建议修改BIG-IP httpd配置限制对iControl REST组件访问。
参考链接:https://support.f5.com/csp/article/K55879220
