CVE-2021-22986

F5 BIG-IP and BIG-IQ Centralized Management

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

F5 BIG-IP and BIG-IQ Centralized Management contain a remote code execution vulnerability in the iControl REST interface that allows unauthenticated attackers with network access to execute system commands, create or delete files, and disable services.

🛡️
Технический анализ и план устранения

Суть уязвимости

Злоумышленник, имеющий сетевой доступ к iControl REST интерфейсу (обычно на портах TCP 443 или 8443), может без аутентификации отправить специально сформированный HTTP-запрос. Это позволяет: * Выполнять произвольные системные команды с привилегиями учетной записи, под которой работает служба. * Создавать или удалять файлы в файловой системе. * Останавливать критические службы, что приводит к отказу в обслуживании (DoS).

Как исправить

Установите фиксированную версию ПО, соответствующую вашему основному релизу. Обновление является единственным полным решением.

Для BIG-IP: * Версия 16.x: обновитесь до 16.1.2 или новее. * Версия 15.x: обновитесь до 15.1.5 или новее. * Версия 14.x: обновитесь до 14.1.4.4 или новее. * Версия 13.x: обновитесь до 13.1.4 или новее. * Версии 12.x и 11.x являются уязвимыми, но не получают исправлений. Требуется обновление до поддерживаемой версии.

Для BIG-IQ: * Версия 8.x: обновитесь до 8.1.0 или новее. * Версия 7.x: обновитесь до 7.1.0.3 или новее.

Процедура обновления: 1. Скачайте исправленный образ (ISO) или файлы HOTFIX с портала поддержки F5. 2. Загрузите файлы на устройство (например, через SCP). 3. Установите обновление через веб-интерфейс (System -> Software Management -> Install) или командную строку.

# Пример проверки текущей версии через CLI
tmsh show sys version

Временное решение

Если немедленное обновление невозможно, выполните следующие шаги для снижения риска:

  1. Ограничьте доступ к iControl REST:

    • Измените политику безопасности (Security -> Network Firewall -> Policies), чтобы разрешить доступ к управляющим портам (443, 8443) только с доверенных IP-адресов (административных сетей).
    • Если удаленное управление не требуется, заблокируйте входящий доступ к этим портам на уровне сетевого оборудования или host-based firewall.

  2. Отключите iControl REST (радикальная мера):

    • Если интерфейс не используется, его можно полностью отключить. Это сделает устройство неуправляемым через API/REST. ```bash

    Остановка и отключение службы REST через командную строку

    tmsh stop sys service restjavad tmsh save sys config ```

  3. Настройте WAF (Web Application Firewall):

    • Если используется F5 Advanced WAF (ASM), создайте и активируйте политику защиты для iControl REST, блокирующую неавторизованные запросы к /mgmt/tm/util/bash и другим утилитарным endpoint'ам.
    • Добавьте сигнатуру, обнаруживающую аномальные POST-запросы с командами оболочки в теле.

Важно: Временные меры не устраняют уязвимость, а лишь усложняют ее эксплуатацию. Планируйте установку официального патча как можно скорее.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей