F5 BIG-IP遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2022-1388）

2022-05-05

一、概要

近日，華為云關(guān)注到F5官網(wǎng)發(fā)布安全公告，披露F5 BIG-IP存在一處遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2022-1388）。漏洞存在于iControl REST組件中，未經(jīng)身份驗證的攻擊者可以發(fā)送請求繞過BIG-IP中的iControl REST認(rèn)證，進(jìn)而導(dǎo)致可以在目標(biāo)主機(jī)上執(zhí)行任意系統(tǒng)命令、創(chuàng)建或刪除文件或禁用BIG-IP上的服務(wù)。

BIG-IP本地流量管理器(LTM) 是一款出色的應(yīng)用流量管理系統(tǒng)。華為云提醒使用F5 BIG-IP的用戶及時安排自檢并做好安全加固。

詳情請參考鏈接：

https://support.f5.com/csp/article/K23605346

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

受影響版本：

BIG-IP 16.x: 16.1.0 - 16.1.2

BIG-IP 15.x: 15.1.0 - 15.1.5

BIG-IP 14.x: 14.1.0 - 14.1.4

BIG-IP 13.x: 13.1.0 - 13.1.4

BIG-IP 12.x: 12.1.0 - 12.1.6

BIG-IP 11.x: 11.6.1 - 11.6.5

安全版本：

BIG-IP 17.x: 17.0.0

BIG-IP 16.x: 16.1.2.2

BIG-IP 15.x: 15.1.5.1

BIG-IP 14.x: 14.1.4.6

BIG-IP 13.x: 13.1.5

四、漏洞處置

目前，官方已在相應(yīng)的分支中提供了安全版本，請受影響的用戶升級到安全版本。

若無法及時升級，可參考官方公告中提供的規(guī)避措施進(jìn)行風(fēng)險規(guī)避：

https://support.f5.com/csp/article/K23605346

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。