CVE-2021-22991

F5 BIG-IP Traffic Management Microkernel

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-01-18

Официальное описание

The Traffic Management Microkernel of BIG-IP ASM Risk Engine has a buffer overflow vulnerability, leading to a bypassing of URL-based access controls.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость переполнения буфера в Traffic Management Microkernel (TMM) модуля Risk Engine BIG-IP ASM. Злоумышленник может отправить специально сформированный HTTP-запрос, который вызовет сбой TMM или позволит обойти контроль доступа на основе URL (URL-based access controls), реализованный в политике ASM.

Как исправить

Установите исправленную версию ПО BIG-IP. Обновление является единственным полноценным решением.

Для BIG-IP (все модули): * Версия 16.x: Обновитесь до 16.1.0 или более поздней. * Версия 15.1.x: Обновитесь до 15.1.3 или более поздней. * Версия 14.1.x: Обновитесь до 14.1.4 или более поздней. * Версия 13.1.x: Обновитесь до 13.1.4 или более поздней. * Версии 12.1.x и 11.6.x: Уязвимы, но исправления не выпущены. Необходимо обновиться до одной из поддерживаемых версий выше.

Процедура обновления (через Web-интерфейс): 1. Скачайте файл образа ISO с исправленной версией с сайта поддержки F5. 2. В System > Software Management загрузите образ на устройство. 3. Установите его в неактивный загрузочный раздел (boot base). 4. Перезагрузите устройство, выбрав обновленный раздел.

Процедура обновления (через CLI):

# Загрузите ISO-образ на устройство (например, по SCP)
# Установите образ в неактивный раздел
tmsh install sys software image <имя_файла.iso> volume <имя_раздела>

# Пример для раздела HD1.2
tmsh install sys software image BIGIP-16.1.0.0.0.401.iso volume HD1.2

# После установки перезагрузите устройство
reboot

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Ограничьте доступ к системе управления:

    • Настройте политики безопасности (Security > Network Access > Management Port) или списки контроля доступа (ACL), чтобы разрешить подключение к портам управления (SSH, GUI) только с доверенных IP-адресов.

  2. Используйте iRules для фильтрации запросов (если применимо):

    • Создайте iRule для блокировки подозрительных шаблонов в URI, которые могут эксплуатировать уязвимость. Внимание: Это сложная и неточная мера, так как точный вектор атаки не раскрыт. Рассматривайте это как крайний случай.
    • Пример iRule, логирующий и отклоняющий запросы с чрезмерно длинными URI (эвристическая защита): tcl when HTTP_REQUEST { if { [string length [HTTP::uri]] > 2048 } { log local0. "Возможная попытка эксплуатации CVE-2021-22991 с длинного URI: [HTTP::uri]" HTTP::respond 400 content "Bad Request" } } Примените этот iRule к необходимым виртуальным серверам.

  3. Минимизация поверхности атаки:

    • Убедитесь, что виртуальные серверы с профилем ASM (Application Security Manager) не имеют избыточного доступа из интернета. Ограничьте доступ на уровне сетевого оборудования (брандмауэра) перед BIG-IP.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей