辰东,完美世界辰东

【漏洞通告】F5 BIG-IP iControl REST身份驗(yàn)證繞過(guò)漏洞安全風(fēng)險(xiǎn)通告（CVE-2022-1388）

安全通告

F5 BIG-IP iControl REST身份驗(yàn)證繞過(guò)漏洞安全風(fēng)險(xiǎn)通告

發(fā)布日期：2022-5-6

漏洞描述

近日，監(jiān)測(cè)發(fā)現(xiàn)F5官方發(fā)布了BIG-IP iControl REST的風(fēng)險(xiǎn)通告。

F5 BIG-IP是美國(guó)F5公司的一款集成了網(wǎng)絡(luò)流量管理、應(yīng)用程序安全管理、負(fù)載均衡等功能的應(yīng)用交付平臺(tái)。iControl REST是iControl 框架的演變，使用 REpresentational State Transfer (REST)。這允許用戶(hù)或腳本與 F5 設(shè)備之間進(jìn)行輕量級(jí)、快速的交互。

建議廣大用戶(hù)及時(shí)將F5 BIG-IP iControl REST升級(jí)到最新版本。與此同時(shí)，請(qǐng)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

漏洞編號(hào)

CVE-2022-1388

漏洞危害

該漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)管理端口或自身IP 地址對(duì) BIG-IP 系統(tǒng)進(jìn)行網(wǎng)絡(luò)訪問(wèn)，以執(zhí)行任意系統(tǒng)命令、創(chuàng)建或刪除文件以及禁用BIG-IP上的服務(wù)。

漏洞等級(jí)

高危
受影響版本

16.1.0 – 16.1.2

15.1.0 – 15.1.5

14.1.0 – 14.1.4

13.1.0 – 13.1.4

12.1.0 – 12.1.6

11.6.1 – 11.6.5

修復(fù)方案

根據(jù)影響版本中的信息，排查并升級(jí)到安全版本。

參考鏈接

https://support.f5.com/csp/article/K23605346
https://nvd.nist.gov/vuln/detail/CVE-2022-1388

漏洞播報(bào)

【漏洞通告】F5 BIG-IP iControl REST身份驗(yàn)證繞過(guò)漏洞 安全風(fēng)險(xiǎn)通告（CVE-2022-1388）

聯(lián)系我們：cert@chaosec.com

【漏洞通告】F5 BIG-IP iControl REST身份驗(yàn)證繞過(guò)漏洞安全風(fēng)險(xiǎn)通告（CVE-2022-1388）