• 發布單位:TWCERT/CC
• 更新日期:2021-03-16
• 點閱次數:3739

F5 Networks BIG-IP與BIG-IQ產品存有多個資安漏洞，允許駭侵者遠端執行任意程式碼，建議相關產品用戶更新至已修復版本。

網路和網安設備廠商F5 Networks發布了安全性更新，共7個漏洞，影響多數BIG-IP和BIG-IQ版本，其中包含四個嚴重的遠端執行任意程式碼(Remote Code Execution, RCE)漏洞。

四個嚴重RCE漏洞中一個屬於預授權RCE漏洞(CVE-2021-22986)，此漏洞使未經身分驗證的遠端駭侵者可以在被入侵的BIG-IP設備上執行任意代碼，CVSS評分9.8分。

其餘三個嚴重漏洞分別為：

• 流量管理用戶介面(Traffic Management User Interface, TMUI)在未公開的頁面中存在具有身分驗證的RCE漏洞(CVE-2021-22987)，CVSS評分高達9.9分。
• 流量管理微核心(Traffic Management Microkernel,TMM)存在緩衝區溢位漏洞(CVE-2021-22991)，CVSS評分9.0分。
• Advanced WAF/ASM存有緩衝區溢位漏洞(CVE-2021-22992)，CVSS評分9.0分。

2021年3月10日，F5又發佈了另外3個RCE漏洞的安全公告（2個高度風險CVE-2021-22988、CVE-2021-22989，1個中度風險CVE-2021-22990，其CVSS評分分別為8.8、8.0、6.6），允許經過驗證的遠端攻擊者執行任意系統命令。BIG-IP的RCE漏洞可能會導致全面的系統入侵，包括截取控制器應用流量和橫向移動到內部網路。

根據F5的資訊，這7個漏洞在以下BIG-IP版本中已得到修復：16.0.1.1、15.1.2.1、14.1.4、13.1.3.6、12.1.5.3和11.6.5.3。影響BIG-IQ的預授權RCE漏洞(CVE-2021-22986)也在8.0.0、7.1.0.3和7.0.0.2版本中均已修復。

F5在BIG-IP升級指南詳細介紹了多種升級方案，並呼籲相關產品用戶盡快進行漏洞修補更新。

• CVE編號：CVE-2021-22986、CVE-2021-22987、CVE-2021-22988、CVE-2021-22989、CVE-2021-22990、CVE-2021-22991、CVE-2021-22992

• 影響產品：BIG-IP與BIG-IQ的多個版本

• 建議採取資安強化措施：依照F5官方提供之升級指南，將受影響產品更新至已修復版本。