Ugrás a fő tartalomhoz

Kritikus sérülékenységi figyelmeztetés: CVE-2021-22986 az F5 BIG-IP és BIG-IQ rendszerekben

Ebben a technikai blogbejegyzésben a CVE-2021-22986 azonosítójú kritikus sérülékenységet vizsgáljuk meg, amely számos F5 BIG-IP és BIG-IQ rendszerverziót érint.

Mi ez a sérülékenység?

A szóban forgó hiba egy hitelesítés nélküli távoli parancsfuttatási (Remote Command Execution – RCE) sérülékenység, amely az iControl REST interfészben található bizonyos F5 BIG-IP és BIG-IQ verziókban. Ez azt jelenti, hogy egy támadó hitelesítés nélkül is kihasználhatja a hibát, és súlyos mértékben veszélyeztetheti a rendszert.

Hogyan működik?

A sérülékenység oka a nem megfelelő bemenetellenőrzés az iControl REST interfészben. Ez lehetővé teszi, hogy a támadó tetszőleges parancsokat hajtson végre az érintett rendszereken. A támadás általában speciálisan kialakított HTTP-kérésekkel történik, amelyek az iControl REST felületet célozzák, kihasználva a hibát, és rendszerjogosultságokkal futtatva parancsokat.

Kik érintettek?

Az alábbi F5 BIG-IP és BIG-IQ verziók érintettek:

  • BIG-IP:

    • 16.0.x – 16.0.1.1 előtt
    • 15.1.x – 15.1.2.1 előtt
    • 14.1.x – 14.1.4 előtt
    • 13.1.x – 13.1.3.6 előtt
    • 12.1.x – 12.1.5.3 előtt

  • BIG-IQ:

    • 7.1.0.x – 7.1.0.3 előtt
    • 7.0.0.x – 7.0.0.2 előtt

Megjegyzés: Az F5 nem értékeli azokat a szoftververziókat, amelyek már elérték az "End of Software Development" (EoSD) státuszt.

Enyhítési lépések

A sérülékenység enyhítése érdekében erősen ajánlott a rendszerek mielőbbi frissítése a legújabb elérhető verziókra. A frissítéssel és hibajavításokkal kapcsolatos további információkért lásd az F5 hivatalos dokumentációját.

Hivatkozott források

Források