F5本周发布安全公告,包含13个高风险及1个允许攻击者执行指令或删改文件的重大安全漏洞。
此次F5修补的30个漏洞中包括13个高风险漏洞,其中CVE-2021-23031属于权限升级漏洞。它位于流量管理员UI(TMUI)的组态工具中,一旦遭到开采,具有访问权限的攻击者就可于系统上执行任意系统指令、添加、删改文件,或是关闭服务,甚至可让攻击者接管整台系统。
这个漏洞影响BIG-IP Advanced WAF(Web Application Firewall)11.x-16.x版,和BIG-IP ASM(Application Security Manager),CVSS 3.0风险值8.8,但在纯设备模式(Appliance Mode Only)下风险值高达9.9。
由于这漏洞允许合法用户发动攻击,故没有有效的缓解决方案法,F5建议用户尽快升级到最新版本以确安全全。
其他高风险漏洞风险值分布于7.2和7.5之间。其中Big IP Advanced WAF与ASM还分别存在其他4项漏洞(CVE-2021-23028、CVE-2021-23029、CVE-2021-23030、CVE-2021-23032、CVE-2021-23033),导致程序终结及服务器请求伪造(Server-Side Request Forgery)攻击。其他漏洞还有跨站脚本程序代码(XXS)、远程程序代码执行(RCE)攻击及程序中止,影响产品包括BIG-IP DNS、BIG-IP TMM、BIG-IP TMUI、iControl等。