F5 BIG-IP产品曝高危远程代码执行漏洞，漏洞利用EXP已公开

在最近的网络安全研究中，知名网络安全厂商 F5 在针对其 BIG-IP 系列产品的关键远程代码执行漏洞发布补丁后不久，就曝出该漏洞还存在被利用的可能。该漏洞可以允许未经身份验证的攻击者可以通过管理端口或自身 IP 地址对 BIG-IP 系统进行网络访问，执行任意系统命令、创建或删除文件或禁用服务。

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。用户可通过iControl REST与F5设备之间进行轻量级、快速的交互。BIG-IP 本地流量管理器 (LTM) 和 BIG-IP DNS 能够处理应用程序流量并保护基础设施。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，该漏洞号为 CVE-2022-1388（CVSS评分：9.8），与 iControl REST 身份验证绕过有关，如果成功利用，可以实现远程代码执行，从而获得初始访问权限并控制整个系统。通过利用该漏洞可以向目标系统部署挖矿程序，或者部署窃密木马和勒索病毒以进行后续的攻击。

该安全漏洞影响 BIG-IP 产品的以下版本：

• 16.1.0 – 16.1.2
• 15.1.0 – 15.1.5
• 14.1.0 – 14.1.4
• 13.1.0 – 13.1.4
• 12.1.0 – 12.1.6
• 11.6.1 – 11.6.5

若相关用户暂时无法进行升级操作，可采用下列措施进行缓解：

1、通过自有 IP 地址阻止对BIG-IP系统的iControl REST接口的访问。

2、通过管理界面将iControl REST访问限制为仅受信任的用户和设备。

3、修改 BIG-IP httpd 配置。

参考漏洞影响范围，目前F5官方已给出解决方案，可升级至不受影响版本或参考官网文件进行修复： https://support.f5.com/csp/article/K23605346。