企业安全和网络设备供应商 F5 已针对影响多个版本的 BIG-IP 和 BIG-IQ 设备的二十多个安全漏洞发布了补丁,这些漏洞可能允许攻击者执行广泛的恶意操作,包括访问任意文件、升级权限,并执行 JavaScript 代码。
在解决的 29 个安全漏洞中,13 个是高危漏洞,15 个是中危,1 个是低危。
其中最主要的是CVE-2021-23031(CVSS 评分:8.8),这是一个影响 BIG-IP 高级 Web 应用防火墙和 BIG-IP 应用安全管理器的漏洞,允许经过身份验证的用户执行权限提升。
“当这个漏洞被利用时,可以访问配置实用程序的经过身份验证的攻击者可以执行任意系统命令,创建或删除文件,和/或禁用服务。这个漏洞可能会导致整个系统受到损害,”F5 在其公告中说。
值得注意的是,对于在设备模式下运行设备的客户,在敏感领域应用额外的技术限制,同样的漏洞具有 9.9 的严重等级(满分 10)。“由于这种攻击是由经过身份验证的合法用户进行的,因此存在没有可行的缓解措施也允许用户访问配置实用程序。唯一的缓解措施是删除不完全信任的用户的访问权限,“该公司表示。
F5 解决的其他主要漏洞如下:
- CVE-2021-23025(CVSS 评分:7.2)- BIG-IP 配置实用程序中的经过身份验证的远程命令执行漏洞
- CVE-2021-23026(CVSS 评分:7.5)——iControl SOAP 中的跨站请求伪造 (CSRF) 漏洞
- CVE-2021-23027 和 CVE-2021-23037(CVSS 评分:7.5)——基于 TMUI DOM 和反射的跨站脚本 (XSS) 漏洞
- CVE-2021-23028(CVSS 评分:7.5)——BIG-IP 高级 WAF 和 ASM 漏洞
- CVE-2021-23029(CVSS 评分:7.5)- BIG-IP 高级 WAF 和 ASM TMUI 漏洞
- CVE-2021-23030 和 CVE-2021-23033(CVSS 评分:7.5)——BIG-IP 高级 WAF 和 ASM Websocket 漏洞
- CVE-2021-23032(CVSS 评分:7.5)- BIG-IP DNS 漏洞
- CVE-2021-23034、CVE-2021-23035 和 CVE-2021-23036(CVSS 评分:7.5)——流量管理微内核漏洞
此外,F5还修复了多个漏洞,从目录遍历漏洞和SQL注入到开放重定向漏洞和跨站请求伪造,以及一个MySQL数据库漏洞,导致数据库在暴力破解时消耗比预期更多的存储空间。
极牛网精选文章《F5的BIG-IP和BIG-IQ设备爆出重大漏洞,已发布安全补丁》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16041.html