PoC漏洞在线发布后，受到主动攻击的关键F5 BIG-IP漏洞

在应用程序安全公司F5 Networks发布针对其BIG-IP和BIG-IQ产品中关键漏洞的修补程序近10天后，对手开始机会主义地大规模扫描并瞄准暴露和未修补的网络设备，以侵入企业网络。

News of in the wild exploitation comes on the heels of a proof-of-concept exploit code that surfaced online earlier this week by reverse-engineering the Java software patch in BIG-IP. The mass scans are said to have spiked since March 18.

这些缺陷影响到大IP版本11.6或12。x和更新版本，以及关键的远程代码执行（CVE-2021-22986）也影响了BIG-IQ版本6。x和7。x、 CVE-2021-22986（CVSS分数：9.8）值得注意的是，它是一个未经验证的远程命令执行漏洞，影响iControl REST接口，允许攻击者执行任意系统命令，创建或删除文件，并禁用服务，而无需任何身份验证。

成功利用这些漏洞可能会对易受影响的系统造成全面危害，包括远程代码执行的可能性以及触发缓冲区溢出，从而导致拒绝服务（DoS）攻击。

虽然F5在3月10日表示不知道有任何公开利用这些问题的行为，但NCC Group的研究人员表示，他们现在发现了证据，证明在对其蜜罐基础设施进行多次攻击后，“F5 BIG-IP/BIG-IQ iControl REST API漏洞CVE-2021-22986被全链利用”。

此外，Palo Alto Networks的第42单元威胁情报团队表示，他们发现了利用CVE-2021-22986安装Mirai僵尸网络变体的企图。但目前尚不清楚这些袭击是否成功。

鉴于BIG-IP/BIG-IQ在企业和政府网络中的流行，这是F5设备在一年内第二次成为利润丰厚的开发目标，这一点也不奇怪。

去年7月，该公司解决了一个类似的关键缺陷（CVE-2020-5902），随后被伊朗和中国国家支持的黑客组织滥用，促使美国网络安全和基础设施安全局（CISA）发布警报，警告“对联邦部门和机构中存在的该漏洞进行广泛扫描”

F5高级副总裁卡拉·斯普拉格（Kara Sprague）上周指出：“归根结底，[缺陷]会影响所有大IP和大IQ客户和实例—；我们敦促所有客户尽快将其大IP和大IQ部署更新为固定版本。”。