F5为BIG-IP和BIG-IQ设备发布关键安全补丁

Enterprise security and network appliance供应商F5发布了二十多个安全漏洞的修补程序，这些漏洞会影响多个版本的BIG-IP和BIG-IQ设备，可能使攻击者执行多种恶意操作，包括访问任意文件、提升权限、，以及执行JavaScript代码。

在解决的29个缺陷中，13个是高严重性缺陷，15个是中等严重性缺陷，一个是低严重性缺陷。

其中最主要的是CVE-2021-23031（CVSS分数：8.8），这是一个影响BIG-IP Advanced Web Application Firewall和BIG-IP Application Security Manager的漏洞，允许经过身份验证的用户执行权限提升。

F5在其建议中说：“当利用此漏洞时，具有配置实用程序访问权限的经过身份验证的攻击者可以执行任意系统命令、创建或删除文件和/或禁用服务。此漏洞可能会导致系统完全受损。”。

值得注意的是，对于在设备模式下运行设备的客户来说，同样的漏洞在10分中有9.9分的严重等级，而设备模式在敏感行业应用了额外的技术限制。该公司表示：“由于此次攻击是由合法、经过身份验证的用户实施的，因此没有可行的缓解措施允许用户访问配置实用程序。唯一的缓解措施是删除不完全受信任的用户的访问权限。”。

F5解决的其他主要漏洞如下所示-

• CVE-2021-23025（CVSS分数：7.2）-BIG-IP配置实用程序中存在经过身份验证的远程命令执行漏洞
• CVE-2021-23026（CVSS分数：7.5）-iControl SOAP中的跨站点请求伪造（CSRF）漏洞
• CVE-2021-23027和CVE-2021-23037（CVSS分数：7.5）-基于TMUI DOM并反映跨站点脚本（XSS）漏洞
• CVE-2021-23028（CVSS得分：7.5）-大IP高级WAF和ASM漏洞
• CVE-2021-23029（CVSS得分：7.5）-大IP高级WAF和ASM TMUI漏洞
• CVE-2021-23030和CVE-2021-23033（CVSS分数：7.5）-大IP高级WAF和ASM Websocket漏洞
• CVE-2021-23032（CVSS分数：7.5）-大IP DNS漏洞
• CVE-2021-23034、CVE-2021-23035和CVE-2021-23036（CVSS分数：7.5）-流量管理微内核漏洞

此外，F5还修补了许多缺陷，从目录遍历漏洞和SQL注入到开放重定向漏洞和跨站点请求伪造，以及一个MySQL数据库缺陷，当启用防火墙的暴力保护功能时，该缺陷会导致数据库消耗比预期更多的存储空间。

由于F5设备经常成为威胁行为人主动攻击的目标，强烈建议用户和管理员尽快安装更新的软件或应用必要的缓解措施。