最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

F5修复了BIG-IP、BIG-IQ中的两个远程代码执行漏洞

网络安全 快米云 来源:快米云 41浏览

F5

F5 为其 BIG-IP 和 BIG-IQ 产品发布了修补程序,解决了两个严重缺陷,攻击者可以在易受攻击的端点上执行未经身份验证的远程代码执行 (RCE)。

虽然这些缺陷需要特定的标准才能存在,这使得它们很难被利用,但 F5 警告说,这可能会导致设备完全受损。

第一个缺陷被追踪为 CVE-2022-41622 (CVSS v3 – 8.8),是一个未经身份验证的 RCE,通过 iControl SOAP 上的跨站点伪造,影响多个 BIG-IP 和 BIG-IQ 版本。

“攻击者可能会诱骗至少拥有资源管理员角色特权并通过 iControl SOAP 中的基本身份验证进行身份验证的用户执行关键操作,” F​​5 的建议描述道。

“如果被利用,该漏洞可能会危及整个系统。”

第二个缺陷是 CVE-2022-41800 (CVSS v3 – 8.7),这是一个通过 RPM 规范注入的经过身份验证的 RCE,影响了 iControl REST 组件。

易受攻击的 BIG-IP 版本是:

  • 13.1.0 – 13.1.5
  • 14.1.0 – 14.1.5
  • 15.1.0 – 15.1.8
  • 16.1.0 – 16.1.3
  • 17.0.0

对于 BIG-IQ,受影响的版本是:

  • 7.1.0
  • 8.0.0 – 8.2.0

建议受影响的客户从 F5 请求其产品版本的工程修补程序并手动安装。

要解决 CVE-2022-41622,管理员还应在安装修补程序后禁用 iControl SOAP 的基本身份验证。

技术细节发布

这些漏洞由 Rapid7 的研究人员于 2022 年 7 月发现,并于 2022 年 8 月向 F5 报告。

昨天,Rapid7 发布了一份详细的漏洞报告,披露了漏洞的技术细节。

“通过成功利用最严重的漏洞 (CVE-2022-41622),攻击者可以获得对设备管理界面的持久根访问权限(即使管理界面不面向互联网),”   Rapid7的报告解释道。

但是,要使此类攻击起作用,必须诱使具有活动会话的管理员使用用于管理 BIG-IP 的同一浏览器访问恶意网站。

此外,攻击者需要知道目标 BIG-IP 实例的地址才能对管理员进行跨站点请求伪造。

因此,Rapid7 研究员 Ron Bowes 认为这些漏洞不太可能被广泛利用。

对于 CVE-2022-41800,攻击者必须使用“资源管理员”或更高权限进行身份验证,因此影响并不那么严重。

F5 未发现任何涉及 Rapid7 披露的任一漏洞的利用事件。

分析师已发布大量技术细节,包括 CVE-2022-41622的概念验证利用 ,因此尽快解决漏洞非常重要。

除了这两个高危漏洞外,Rapid7 还发现了几种安全控制 (SELinux) 绕过方法,但由于供应商 认为 它们实际上不可利用,因此不会修复这些方法。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » F5修复了BIG-IP、BIG-IQ中的两个远程代码执行漏洞