按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

網路設備廠商F5呼籲用戶修補BIG-IP與BIG-IQ產品的嚴重漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-03-16
  • 點閱次數:2312
網路設備廠商F5呼籲用戶修補BIG-IP與BIG-IQ產品的嚴重漏洞 TWCERT/CC

F5 Networks BIG-IP與BIG-IQ產品存有多個資安漏洞,允許駭侵者遠端執行任意程式碼,建議相關產品用戶更新至已修復版本。

網路和網安設備廠商F5 Networks發布了安全性更新,共7個漏洞,影響多數BIG-IP和BIG-IQ版本,其中包含四個嚴重的遠端執行任意程式碼(Remote Code Execution, RCE)漏洞。

四個嚴重RCE漏洞中一個屬於預授權RCE漏洞(CVE-2021-22986),此漏洞使未經身分驗證的遠端駭侵者可以在被入侵的BIG-IP設備上執行任意代碼,CVSS評分9.8分。

其餘三個嚴重漏洞分別為:

  • 流量管理用戶介面(Traffic Management User Interface, TMUI)在未公開的頁面中存在具有身分驗證的RCE漏洞(CVE-2021-22987),CVSS評分高達9.9分。
  • 流量管理微核心(Traffic Management Microkernel,TMM)存在緩衝區溢位漏洞(CVE-2021-22991),CVSS評分9.0分。
  • Advanced WAF/ASM存有緩衝區溢位漏洞(CVE-2021-22992),CVSS評分9.0分。

2021年3月10日,F5又發佈了另外3個RCE漏洞的安全公告(2個高度風險CVE-2021-22988、CVE-2021-22989,1個中度風險CVE-2021-22990,其CVSS評分分別為8.8、8.0、6.6),允許經過驗證的遠端攻擊者執行任意系統命令。BIG-IP的RCE漏洞可能會導致全面的系統入侵,包括截取控制器應用流量和橫向移動到內部網路。

根據F5的資訊,這7個漏洞在以下BIG-IP版本中已得到修復:16.0.1.1、15.1.2.1、14.1.4、13.1.3.6、12.1.5.3和11.6.5.3。影響BIG-IQ的預授權RCE漏洞(CVE-2021-22986)也在8.0.0、7.1.0.3和7.0.0.2版本中均已修復。

F5在BIG-IP升級指南詳細介紹了多種升級方案,並呼籲相關產品用戶盡快進行漏洞修補更新。

  • CVE編號:CVE-2021-22986、CVE-2021-22987、CVE-2021-22988、CVE-2021-22989、CVE-2021-22990、CVE-2021-22991、CVE-2021-22992
  • 影響產品:BIG-IP與BIG-IQ的多個版本
  • 建議採取資安強化措施:依照F5官方提供之升級指南,將受影響產品更新至已修復版本。
回頁首