F5 为其 BIG-IP 和 BIG-IQ 产品发布了修补程序,解决了两个严重缺陷,攻击者可以在易受攻击的端点上执行未经身份验证的远程代码执行 (RCE)。
虽然这些缺陷需要特定的标准才能存在,这使得它们很难被利用,但 F5 警告说,这可能会导致设备完全受损。
第一个缺陷被追踪为 CVE-2022-41622 (CVSS v3 – 8.8),是一个未经身份验证的 RCE,通过 iControl SOAP 上的跨站点伪造,影响多个 BIG-IP 和 BIG-IQ 版本。
“攻击者可能会诱骗至少拥有资源管理员角色特权并通过 iControl SOAP 中的基本身份验证进行身份验证的用户执行关键操作,” F5 的建议描述道。
“如果被利用,该漏洞可能会危及整个系统。”
第二个缺陷是 CVE-2022-41800 (CVSS v3 – 8.7),这是一个通过 RPM 规范注入的经过身份验证的 RCE,影响了 iControl REST 组件。
易受攻击的 BIG-IP 版本是:
- 13.1.0 – 13.1.5
- 14.1.0 – 14.1.5
- 15.1.0 – 15.1.8
- 16.1.0 – 16.1.3
- 17.0.0
对于 BIG-IQ,受影响的版本是:
- 7.1.0
- 8.0.0 – 8.2.0
建议受影响的客户从 F5 请求其产品版本的工程修补程序并手动安装。
要解决 CVE-2022-41622,管理员还应在安装修补程序后禁用 iControl SOAP 的基本身份验证。
技术细节发布
这些漏洞由 Rapid7 的研究人员于 2022 年 7 月发现,并于 2022 年 8 月向 F5 报告。
昨天,Rapid7 发布了一份详细的漏洞报告,披露了漏洞的技术细节。
“通过成功利用最严重的漏洞 (CVE-2022-41622),攻击者可以获得对设备管理界面的持久根访问权限(即使管理界面不面向互联网),” Rapid7的报告解释道。
但是,要使此类攻击起作用,必须诱使具有活动会话的管理员使用用于管理 BIG-IP 的同一浏览器访问恶意网站。
此外,攻击者需要知道目标 BIG-IP 实例的地址才能对管理员进行跨站点请求伪造。
因此,Rapid7 研究员 Ron Bowes 认为这些漏洞不太可能被广泛利用。
对于 CVE-2022-41800,攻击者必须使用“资源管理员”或更高权限进行身份验证,因此影响并不那么严重。
F5 未发现任何涉及 Rapid7 披露的任一漏洞的利用事件。
分析师已发布大量技术细节,包括 CVE-2022-41622的概念验证利用 ,因此尽快解决漏洞非常重要。
除了这两个高危漏洞外,Rapid7 还发现了几种安全控制 (SELinux) 绕过方法,但由于供应商 认为 它们实际上不可利用,因此不会修复这些方法。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » F5修复了BIG-IP、BIG-IQ中的两个远程代码执行漏洞
