- 上版日期:2022-6-16
今年五月上旬,F5公開CVE-2022-1388漏洞資訊,同時也提供修補更新檔案。雖然官方的漏洞說明只記載允許未經授權的使用者繞過身分驗證,但在資安業者成功開發出概念性驗證程式後,呼籲管理者應立即修補此重大漏洞。
事件說明:
美國公司F5 Networks在2022年5月4日,對外公布CVE-2022-1388漏洞說明:「此一漏洞發生在F5 BIG-IP管理介面上,它允許未經授權的駭客存取BIG-IP系統並且執行任意指令」,經專家評估該漏洞為嚴重風險等級(CVSS 9.8分)。
CVE-2022-1388是存在於F5的BIG-IP (All Modules)所使用的iControl REST元件中,該漏洞可輕鬆繞過F5的iControl REST身份驗證,並獲得完整的admin權限,進而可從遠端執行任意指令(Remote Code Execution ,RCE)。
影響範圍:
F5的BIG-IP產品家族包含BIG-IP Local Traffic Manager、BIG-IP DNS、BIG-IP Advanced Firewall Manager、BIG-IP Access Policy Manager、container ingress services,以及BIG-IQ Centralized Management platform等。
根據F5官方的資料,受影響之BIG-IP (All modules) 版本如下:
- 1.0 - 16.1.2
- 1.0 - 15.1.5
- 1.0 - 14.1.4
- 1.0 - 13.1.4
- 1.0 - 12.1.6 (End-Of-Support,縮寫為EOS)
- 6.1 - 11.6.5 (EOS)
防護建議措施:
目前F5官方已針對此漏洞釋出修復版本,請根據使用的版本做更新,可以參考下面列表所示:
BIG-IP 16.x:16.1.2.2
BIG-IP 15.x:15.1.5.1
BIG-IP 14.x:14.1.4.6
BIG-IP 13.x:13.1.3.5
BIG-IP 12.x:EOS,不會有修補版本
BIG-IP 11.x:EOS,不會有修補版本
若目前所使用之版本因已停止支援而未釋出修補程式,建議升級至仍有支援且已推出修補程式之版本。
若無法更新至最新版本,可參考下方F5官方提供的三項緩解措施(詳細細節請至F5官網查詢):
- 禁止透過設備之self IP位址存取iControl REST介面。
- 僅允許受信任之使用者與設備可透過BIG-IP設備管理頁面存取 iControl REST介面。
- 調整 BIG-IP設備之httpd設定檔。
參考資料:
- iThome報導-F5 修補重大的BIG-IP遠端執行漏洞,概念性驗證攻擊程式即將現身。2022-05-09。網址:https://www.ithome.com.tw/news/150831
- K23605346: BIG-IP iControl REST vulnerability CVE-2022-1388。2022-05-04。網址:https://support.f5.com/csp/article/K23605346
