F5 BIG-IP和BIG-IQ设备中报告的高严重性漏洞

F5 BIG-IP和BIG-IQ设备中披露了多个安全漏洞，如果成功利用这些漏洞，将完全危及受影响的系统。

网络安全公司Rapid7表示，这些缺陷可能被滥用，以远程访问设备，并克服安全限制。这些问题影响BIG-IP版本13.x、14.x、15.x、16.x和17.x以及BIG-IQ集中式管理版本7.x和8.x。

2022年8月18日向F5报告的两个高严重性问题如下：

• CVE-2022-41622（CVSS评分：8.8）-通过iControl SOAP的跨站点请求伪造（CSRF）漏洞，导致未经验证的远程代码执行。
• CVE-2022-41800（CVSS评分：8.7）-iControl REST漏洞，允许具有管理员角色的身份验证用户绕过设备模式限制。

Rapid7研究人员罗恩·鲍尔斯表示：“通过成功利用最严重的漏洞（CVE-2022-41622），攻击者可以获得对设备管理界面的持久根访问权限（即使管理界面不面向互联网）”。

然而，值得注意的是，这种攻击需要具有活动会话的管理员访问恶意网站。

此外，还发现了三种不同的安全绕过实例，F5表示，如果不首先通过以前未记录的机制打破现有的安全屏障，就无法利用这些实例。

如果出现这种情况，具有高级Shell（bash）访问设备权限的对手可能会利用这些弱点来执行任意系统命令、创建或删除文件或禁用服务。

虽然F5没有提及攻击中利用的任何漏洞，但建议用户应用公司发布的必要“工程修补程序”以减轻潜在风险。