应用交付网络企业F5针对旗下BIG-IP与BIG-IQ产品发布漏洞公告,近日除了多国媒体以外,台湾的安全社群也相继讨论,就连日本安全新闻网站也都报道,由此可见,这次的RCE漏洞影响全球,已经引起多方关注。
在F5于3月10日发布的漏洞公告中,涉及产品为BIG-IP与BIG-IQ软件平台,共7个漏洞,而其中有4个关键漏洞的CVSS风险评分分数高达9.0分甚至超过至9.9分,分别是CVE-2021-22986、CVE-2021-22987、CVE-2021-22991、CVE-2021-22992,主要都是RCE漏洞问题,同时,CVE-2021-22986、CVE-2021-22987也与身份验证有关。
F5在3月10日公告RCE漏洞信息,并在3月11说明如何修复及个别弱点的影响和严重性。
此次的揭漏,未提及是否因为有厂商通报或是F5本身发现的信息。但在同一天,美国网络安全暨基础架构安全局(CISA)也发出目前发生的活动情报,呼吁有使用F5应用交付服务的企业及顾客,尽快地下载并更新已经修补的版本。根据F5的信息,BIG IP版本用户必须更新至16.0.1.1、15.1.2.1、14.1.4、13.1.3.6、12.1.5.3、11.6.5.3,BIG IQ版本系列则是8.0.0、7.1.0.3、7.0.0.2。
同一天,CISA也在3月10日发出F5的RCE漏洞最新消息。
根据F5公告信息得知漏洞造成的严重程度,如表格所示。