F5警告新的关键BIG-IP远程代码执行漏洞

云安全和应用程序交付网络（ADN）提供商F5周三发布了补丁，包含其产品中的43个漏洞。

在所处理的43个问题中，一个被评为严重问题，17个被评为高问题，24个被评为中等问题，一个被评为低问题。

其中最主要的缺陷是CVE-2022-1388，该漏洞的CVSS得分为9.8，最高为10分，这是由于缺乏身份验证检查，可能允许攻击者控制受影响的系统。

F5在一份公告中表示：“此漏洞可能允许未经身份验证的攻击者通过管理端口和/或自身IP地址访问BIG-IP系统，以执行任意系统命令、创建或删除文件或禁用服务”。没有数据平面泄漏；这只是控制平面问题”。

该公司表示，该安全漏洞是在内部发现的，会影响具有以下版本的BIG-IP产品

• 16.1.0 - 16.1.2
• 15.1.0 - 15.1.5
• 14.1.0 - 14.1.4
• 13.1.0 - 13.1.4
• 12.1.0 - 12.1.6
• 11.6.1 - 11.6.5

版本17.0.0、16.1.2.2、15.1.5.1、14.1.4.6和13.1.5中引入了iControl REST身份验证绕过漏洞修补程序。其他F5产品（如BIG-IQ集中式管理、F5OS-A、F5OS-C和Traffix SDC）不易受到CVE-2022-1388的攻击。

F5还提供了临时解决方案，直到可以应用修复程序为止

• 阻止通过自身IP地址控制REST访问
• 通过管理界面阻止iControl REST访问
• 修改BIG-IP httpd配置

作为更新的一部分解决的其他值得注意的漏洞包括那些可能允许经过身份验证的攻击者绕过设备模式限制并在当前登录用户的上下文中执行任意JavaScript代码的漏洞。

随着F5设备在企业网络中的广泛部署，企业必须迅速采取行动，应用补丁，以防止威胁行为者利用攻击向量进行初始访问。

这些安全修复措施出台之际，美国网络安全和基础设施安全局（CISA）根据积极利用漏洞的证据，在其已知漏洞目录中添加了五个新漏洞

• Apple多产品类型混淆漏洞
• Apple多产品类型混淆漏洞
• Microsoft Win32k权限提升漏洞
• Microsoft Internet Explorer释放后使用漏洞
• OpenSSL信息泄露漏洞