Vulnerability-Lookup

BDU:2022-02849

Vulnerability from fstec - Published: 05.05.2022

Title

Уязвимость интерфейса iControl REST API средств защиты приложений BIG-IP, позволяющая нарушителю выполнять произвольные команды, изменять или удалять файлы

Description

Уязвимость интерфейса iControl REST API средств защиты приложений BIG-IP связана с отсутствием проверки подлинности для критически важной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды, изменять или удалять файлы

Severity ?


                    
                      AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vendor

F5 Networks, Inc.

Software Name

BIG-IP Access Policy Manager, BIG-IP Advanced Firewall Manager, BIG-IP Analytics, BIG-IP Application Acceleration Manager, BIG-IP Application Security Manager, BIG-IP Link Controller, BIG-IP Local Traffic Manager, BIG-IP Policy Enforcement Manager, BIG-IP Domain Name System, BIG-IP Fraud Protection Service

Software Version

от 11.6.1 до 11.6.5 включительно (BIG-IP Access Policy Manager), от 12.1.0 до 12.1.6 включительно (BIG-IP Access Policy Manager), от 16.1.0 до 16.1.2.2 (BIG-IP Access Policy Manager), от 15.1.0 до 15.1.5.1 (BIG-IP Access Policy Manager), от 14.1.0 до 14.1.4.6 (BIG-IP Access Policy Manager), от 13.1.0 до 13.1.5 (BIG-IP Access Policy Manager), от 11.6.1 до 11.6.5 включительно (BIG-IP Advanced Firewall Manager), от 12.1.0 до 12.1.6 включительно (BIG-IP Advanced Firewall Manager), от 13.1.0 до 13.1.5 (BIG-IP Advanced Firewall Manager), от 14.1.0 до 14.1.4.6 (BIG-IP Advanced Firewall Manager), от 15.1.0 до 15.1.5.1 (BIG-IP Advanced Firewall Manager), от 16.1.0 до 16.1.2.2 (BIG-IP Advanced Firewall Manager), от 11.6.1 до 11.6.5 включительно (BIG-IP Analytics), от 12.1.0 до 12.1.6 включительно (BIG-IP Analytics), от 13.1.0 до 13.1.5 (BIG-IP Analytics), от 14.1.0 до 14.1.4.6 (BIG-IP Analytics), от 15.1.0 до 15.1.5.1 (BIG-IP Analytics), от 16.1.0 до 16.1.2.2 (BIG-IP Analytics), от 11.6.1 до 11.6.5 включительно (BIG-IP Application Acceleration Manager), от 12.1.0 до 12.1.6 включительно (BIG-IP Application Acceleration Manager), от 13.1.0 до 13.1.5 (BIG-IP Application Acceleration Manager), от 14.1.0 до 14.1.4.6 (BIG-IP Application Acceleration Manager), от 15.1.0 до 15.1.5.1 (BIG-IP Application Acceleration Manager), от 16.1.0 до 16.1.2.2 (BIG-IP Application Acceleration Manager), от 11.6.1 до 11.6.5 включительно (BIG-IP Application Security Manager), от 12.1.0 до 12.1.6 включительно (BIG-IP Application Security Manager), от 13.1.0 до 13.1.5 (BIG-IP Application Security Manager), от 14.1.0 до 14.1.4.6 (BIG-IP Application Security Manager), от 15.1.0 до 15.1.5.1 (BIG-IP Application Security Manager), от 16.1.0 до 16.1.2.2 (BIG-IP Application Security Manager), от 11.6.1 до 11.6.5 включительно (BIG-IP Link Controller), от 12.1.0 до 12.1.6 включительно (BIG-IP Link Controller), от 13.1.0 до 13.1.5 (BIG-IP Link Controller), от 14.1.0 до 14.1.4.6 (BIG-IP Link Controller), от 15.1.0 до 15.1.5.1 (BIG-IP Link Controller), от 16.1.0 до 16.1.2.2 (BIG-IP Link Controller), от 11.6.1 до 11.6.5 включительно (BIG-IP Local Traffic Manager), от 12.1.0 до 12.1.6 включительно (BIG-IP Local Traffic Manager), от 13.1.0 до 13.1.5 (BIG-IP Local Traffic Manager), от 14.1.0 до 14.1.4.6 (BIG-IP Local Traffic Manager), от 15.1.0 до 15.1.5.1 (BIG-IP Local Traffic Manager), от 16.1.0 до 16.1.2.2 (BIG-IP Local Traffic Manager), от 11.6.1 до 11.6.5 включительно (BIG-IP Policy Enforcement Manager), от 12.1.0 до 12.1.6 включительно (BIG-IP Policy Enforcement Manager), от 13.1.0 до 13.1.5 (BIG-IP Policy Enforcement Manager), от 14.1.0 до 14.1.4.6 (BIG-IP Policy Enforcement Manager), от 15.1.0 до 15.1.5.1 (BIG-IP Policy Enforcement Manager), от 16.1.0 до 16.1.2.2 (BIG-IP Policy Enforcement Manager), от 11.6.1 до 11.6.5 включительно (BIG-IP Domain Name System), от 12.1.0 до 12.1.6 включительно (BIG-IP Domain Name System), от 13.1.0 до 13.1.5 (BIG-IP Domain Name System), от 14.1.0 до 14.1.4.6 (BIG-IP Domain Name System), от 15.1.0 до 15.1.5.1 (BIG-IP Domain Name System), от 16.1.0 до 16.1.2.2 (BIG-IP Domain Name System), от 11.6.1 до 11.6.5 включительно (BIG-IP Fraud Protection Service), от 12.1.0 до 12.1.6 включительно (BIG-IP Fraud Protection Service), от 13.1.0 до 13.1.5 (BIG-IP Fraud Protection Service), от 14.1.0 до 14.1.4.6 (BIG-IP Fraud Protection Service), от 15.1.0 до 15.1.5.1 (BIG-IP Fraud Protection Service), от 16.1.0 до 16.1.2.2 (BIG-IP Fraud Protection Service)

Possible Mitigations

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - блокирование доступа к iControl REST через собственный IP-адрес; - изменение TCP-портов 443 и 8443, используемых по умолчанию; - блокирование доступа к iControl REST через интерфейс управления; - изменение конфигурации BIG-IP httpd Войти в оболочку TMOS ( tmsh ) системы BIG-IP, введя следующую команду: tmsh Открыть конфигурацию httpd для редактирования, введя следующую команду: edit /sys httpd all-properties Найти строку, начинающуюся с include none , и замените none следующим текстом: Примечание . Если текущий оператор включения уже содержит конфигурацию, отличную от none, добавьте следующую конфигурацию в конец текущей конфигурации в пределах существующих символов двойных кавычек ( " ). "<If \"%{HTTP:connection} =~ /close/i \"> RequestHeader set connection close </If> <ElseIf \"%{HTTP:connection} =~ /keep-alive/i \"> RequestHeader set connection keep-alive </ElseIf> <Else> RequestHeader set connection close </Else>" После обновления оператора include использовать клавишу ESC, чтобы выйти из интерактивного режима редактора, затем сохраните изменения, введя следующую команду: :wq В ответ на приглашение Сохранить изменения (y/n/e) выбрать y , чтобы сохранить изменения. Сохраните конфигурацию BIG-IP, введя следующую команду: save /sys config Источник информации: https://support.f5.com/csp/article/K23605346

Reference

https://support.f5.com/csp/article/K23605346 https://packetstormsecurity.com/files/167007/F5-BIG-IP-Remote-Code-Execution.html http://packetstormsecurity.com/files/167007/F5-BIG-IP-Remote-Code-Execution.html https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv

CWE

CWE-306

JSON

To clipboard

{
  "CVSS 2.0": "AV:N/AC:L/Au:N/C:C/I:C/A:C",
  "CVSS 3.0": "AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H",
  "CVSS 4.0": null,
  "remediation_\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440": null,
  "remediation_\u041d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435": null,
  "\u0412\u0435\u043d\u0434\u043e\u0440 \u041f\u041e": "F5 Networks, Inc.",
  "\u0412\u0435\u0440\u0441\u0438\u044f \u041f\u041e": "\u043e\u0442 11.6.1 \u0434\u043e 11.6.5 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Access Policy Manager), \u043e\u0442 12.1.0 \u0434\u043e 12.1.6 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Access Policy Manager), \u043e\u0442 16.1.0 \u0434\u043e 16.1.2.2 (BIG-IP Access Policy Manager), \u043e\u0442 15.1.0 \u0434\u043e 15.1.5.1 (BIG-IP Access Policy Manager), \u043e\u0442 14.1.0 \u0434\u043e 14.1.4.6 (BIG-IP Access Policy Manager), \u043e\u0442 13.1.0 \u0434\u043e 13.1.5 (BIG-IP Access Policy Manager), \u043e\u0442 11.6.1 \u0434\u043e 11.6.5 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Advanced Firewall Manager), \u043e\u0442 12.1.0 \u0434\u043e 12.1.6 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Advanced Firewall Manager), \u043e\u0442 13.1.0 \u0434\u043e 13.1.5 (BIG-IP Advanced Firewall Manager), \u043e\u0442 14.1.0 \u0434\u043e 14.1.4.6 (BIG-IP Advanced Firewall Manager), \u043e\u0442 15.1.0 \u0434\u043e 15.1.5.1 (BIG-IP Advanced Firewall Manager), \u043e\u0442 16.1.0 \u0434\u043e 16.1.2.2 (BIG-IP Advanced Firewall Manager), \u043e\u0442 11.6.1 \u0434\u043e 11.6.5 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Analytics), \u043e\u0442 12.1.0 \u0434\u043e 12.1.6 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Analytics), \u043e\u0442 13.1.0 \u0434\u043e 13.1.5 (BIG-IP Analytics), \u043e\u0442 14.1.0 \u0434\u043e 14.1.4.6 (BIG-IP Analytics), \u043e\u0442 15.1.0 \u0434\u043e 15.1.5.1 (BIG-IP Analytics), \u043e\u0442 16.1.0 \u0434\u043e 16.1.2.2 (BIG-IP Analytics), \u043e\u0442 11.6.1 \u0434\u043e 11.6.5 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Application Acceleration Manager), \u043e\u0442 12.1.0 \u0434\u043e 12.1.6 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Application Acceleration Manager), \u043e\u0442 13.1.0 \u0434\u043e 13.1.5 (BIG-IP Application Acceleration Manager), \u043e\u0442 14.1.0 \u0434\u043e 14.1.4.6 (BIG-IP Application Acceleration Manager), \u043e\u0442 15.1.0 \u0434\u043e 15.1.5.1 (BIG-IP Application Acceleration Manager), \u043e\u0442 16.1.0 \u0434\u043e 16.1.2.2 (BIG-IP Application Acceleration Manager), \u043e\u0442 11.6.1 \u0434\u043e 11.6.5 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Application Security Manager), \u043e\u0442 12.1.0 \u0434\u043e 12.1.6 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Application Security Manager), \u043e\u0442 13.1.0 \u0434\u043e 13.1.5 (BIG-IP Application Security Manager), \u043e\u0442 14.1.0 \u0434\u043e 14.1.4.6 (BIG-IP Application Security Manager), \u043e\u0442 15.1.0 \u0434\u043e 15.1.5.1 (BIG-IP Application Security Manager), \u043e\u0442 16.1.0 \u0434\u043e 16.1.2.2 (BIG-IP Application Security Manager), \u043e\u0442 11.6.1 \u0434\u043e 11.6.5 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Link Controller), \u043e\u0442 12.1.0 \u0434\u043e 12.1.6 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Link Controller), \u043e\u0442 13.1.0 \u0434\u043e 13.1.5 (BIG-IP Link Controller), \u043e\u0442 14.1.0 \u0434\u043e 14.1.4.6 (BIG-IP Link Controller), \u043e\u0442 15.1.0 \u0434\u043e 15.1.5.1 (BIG-IP Link Controller), \u043e\u0442 16.1.0 \u0434\u043e 16.1.2.2 (BIG-IP Link Controller), \u043e\u0442 11.6.1 \u0434\u043e 11.6.5 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Local Traffic Manager), \u043e\u0442 12.1.0 \u0434\u043e 12.1.6 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Local Traffic Manager), \u043e\u0442 13.1.0 \u0434\u043e 13.1.5 (BIG-IP Local Traffic Manager), \u043e\u0442 14.1.0 \u0434\u043e 14.1.4.6 (BIG-IP Local Traffic Manager), \u043e\u0442 15.1.0 \u0434\u043e 15.1.5.1 (BIG-IP Local Traffic Manager), \u043e\u0442 16.1.0 \u0434\u043e 16.1.2.2 (BIG-IP Local Traffic Manager), \u043e\u0442 11.6.1 \u0434\u043e 11.6.5 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Policy Enforcement Manager), \u043e\u0442 12.1.0 \u0434\u043e 12.1.6 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Policy Enforcement Manager), \u043e\u0442 13.1.0 \u0434\u043e 13.1.5 (BIG-IP Policy Enforcement Manager), \u043e\u0442 14.1.0 \u0434\u043e 14.1.4.6 (BIG-IP Policy Enforcement Manager), \u043e\u0442 15.1.0 \u0434\u043e 15.1.5.1 (BIG-IP Policy Enforcement Manager), \u043e\u0442 16.1.0 \u0434\u043e 16.1.2.2 (BIG-IP Policy Enforcement Manager), \u043e\u0442 11.6.1 \u0434\u043e 11.6.5 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Domain Name System), \u043e\u0442 12.1.0 \u0434\u043e 12.1.6 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Domain Name System), \u043e\u0442 13.1.0 \u0434\u043e 13.1.5 (BIG-IP Domain Name System), \u043e\u0442 14.1.0 \u0434\u043e 14.1.4.6 (BIG-IP Domain Name System), \u043e\u0442 15.1.0 \u0434\u043e 15.1.5.1 (BIG-IP Domain Name System), \u043e\u0442 16.1.0 \u0434\u043e 16.1.2.2 (BIG-IP Domain Name System), \u043e\u0442 11.6.1 \u0434\u043e 11.6.5 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Fraud Protection Service), \u043e\u0442 12.1.0 \u0434\u043e 12.1.6 \u0432\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u043e (BIG-IP Fraud Protection Service), \u043e\u0442 13.1.0 \u0434\u043e 13.1.5 (BIG-IP Fraud Protection Service), \u043e\u0442 14.1.0 \u0434\u043e 14.1.4.6 (BIG-IP Fraud Protection Service), \u043e\u0442 15.1.0 \u0434\u043e 15.1.5.1 (BIG-IP Fraud Protection Service), \u043e\u0442 16.1.0 \u0434\u043e 16.1.2.2 (BIG-IP Fraud Protection Service)",
  "\u0412\u043e\u0437\u043c\u043e\u0436\u043d\u044b\u0435 \u043c\u0435\u0440\u044b \u043f\u043e \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044e": "\u0423\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0430 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0439 \u0438\u0437 \u0434\u043e\u0432\u0435\u0440\u0435\u043d\u043d\u044b\u0445 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u043e\u0432.\n\u0412 \u0441\u0432\u044f\u0437\u0438 \u0441\u043e \u0441\u043b\u043e\u0436\u0438\u0432\u0448\u0435\u0439\u0441\u044f \u043e\u0431\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u043e\u0439 \u0438 \u0432\u0432\u0435\u0434\u0435\u043d\u043d\u044b\u043c\u0438 \u0441\u0430\u043d\u043a\u0446\u0438\u044f\u043c\u0438 \u043f\u0440\u043e\u0442\u0438\u0432 \u0420\u043e\u0441\u0441\u0438\u0439\u0441\u043a\u043e\u0439 \u0424\u0435\u0434\u0435\u0440\u0430\u0446\u0438\u0438 \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u0435\u0442\u0441\u044f \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0442\u044c \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0433\u043e \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u043e\u0441\u043b\u0435 \u043e\u0446\u0435\u043d\u043a\u0438 \u0432\u0441\u0435\u0445 \u0441\u043e\u043f\u0443\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0445 \u0440\u0438\u0441\u043a\u043e\u0432.\n\n\u041a\u043e\u043c\u043f\u0435\u043d\u0441\u0438\u0440\u0443\u044e\u0449\u0438\u0435 \u043c\u0435\u0440\u044b:\n- \u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a iControl REST \u0447\u0435\u0440\u0435\u0437 \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0439 IP-\u0430\u0434\u0440\u0435\u0441;\n- \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435 TCP-\u043f\u043e\u0440\u0442\u043e\u0432 443 \u0438 8443, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0445 \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e;\n- \u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a iControl REST \u0447\u0435\u0440\u0435\u0437 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f;\n- \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 BIG-IP httpd\n\u0412\u043e\u0439\u0442\u0438 \u0432 \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0443 TMOS ( tmsh ) \u0441\u0438\u0441\u0442\u0435\u043c\u044b BIG-IP, \u0432\u0432\u0435\u0434\u044f \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0443\u044e \u043a\u043e\u043c\u0430\u043d\u0434\u0443:\ntmsh\n\n\u041e\u0442\u043a\u0440\u044b\u0442\u044c \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044e httpd \u0434\u043b\u044f \u0440\u0435\u0434\u0430\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f, \u0432\u0432\u0435\u0434\u044f \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0443\u044e \u043a\u043e\u043c\u0430\u043d\u0434\u0443:\nedit /sys httpd all-properties\n\n\u041d\u0430\u0439\u0442\u0438 \u0441\u0442\u0440\u043e\u043a\u0443, \u043d\u0430\u0447\u0438\u043d\u0430\u044e\u0449\u0443\u044e\u0441\u044f \u0441 include none , \u0438 \u0437\u0430\u043c\u0435\u043d\u0438\u0442\u0435 none \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u0442\u0435\u043a\u0441\u0442\u043e\u043c:\n\u041f\u0440\u0438\u043c\u0435\u0447\u0430\u043d\u0438\u0435 . \u0415\u0441\u043b\u0438 \u0442\u0435\u043a\u0443\u0449\u0438\u0439 \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440 \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f \u0443\u0436\u0435 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044e, \u043e\u0442\u043b\u0438\u0447\u043d\u0443\u044e \u043e\u0442 none, \u0434\u043e\u0431\u0430\u0432\u044c\u0442\u0435 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0443\u044e \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044e \u0432 \u043a\u043e\u043d\u0435\u0446 \u0442\u0435\u043a\u0443\u0449\u0435\u0439 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 \u0432 \u043f\u0440\u0435\u0434\u0435\u043b\u0430\u0445 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0445 \u0441\u0438\u043c\u0432\u043e\u043b\u043e\u0432 \u0434\u0432\u043e\u0439\u043d\u044b\u0445 \u043a\u0430\u0432\u044b\u0447\u0435\u043a ( \" ).\n\n\"\u003cIf \\\"%{HTTP:connection} =~ /close/i \\\"\u003e\nRequestHeader set connection close\n\u003c/If\u003e\n\u003cElseIf \\\"%{HTTP:connection} =~ /keep-alive/i \\\"\u003e\nRequestHeader set connection keep-alive\n\u003c/ElseIf\u003e\n\u003cElse\u003e\n    RequestHeader set connection close\n\u003c/Else\u003e\"\n\n\u041f\u043e\u0441\u043b\u0435 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u0430 include \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043a\u043b\u0430\u0432\u0438\u0448\u0443 ESC, \u0447\u0442\u043e\u0431\u044b \u0432\u044b\u0439\u0442\u0438 \u0438\u0437 \u0438\u043d\u0442\u0435\u0440\u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0433\u043e \u0440\u0435\u0436\u0438\u043c\u0430 \u0440\u0435\u0434\u0430\u043a\u0442\u043e\u0440\u0430, \u0437\u0430\u0442\u0435\u043c \u0441\u043e\u0445\u0440\u0430\u043d\u0438\u0442\u0435 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f, \u0432\u0432\u0435\u0434\u044f \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0443\u044e \u043a\u043e\u043c\u0430\u043d\u0434\u0443:\n:wq\n\n\u0412 \u043e\u0442\u0432\u0435\u0442 \u043d\u0430 \u043f\u0440\u0438\u0433\u043b\u0430\u0448\u0435\u043d\u0438\u0435 \u0421\u043e\u0445\u0440\u0430\u043d\u0438\u0442\u044c \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f (y/n/e) \u0432\u044b\u0431\u0440\u0430\u0442\u044c y , \u0447\u0442\u043e\u0431\u044b \u0441\u043e\u0445\u0440\u0430\u043d\u0438\u0442\u044c \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f.\n\u0421\u043e\u0445\u0440\u0430\u043d\u0438\u0442\u0435 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044e BIG-IP, \u0432\u0432\u0435\u0434\u044f \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0443\u044e \u043a\u043e\u043c\u0430\u043d\u0434\u0443:\nsave /sys config\n\n\u0418\u0441\u0442\u043e\u0447\u043d\u0438\u043a \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438:\nhttps://support.f5.com/csp/article/K23605346",
  "\u0414\u0430\u0442\u0430 \u0432\u044b\u044f\u0432\u043b\u0435\u043d\u0438\u044f": "05.05.2022",
  "\u0414\u0430\u0442\u0430 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0433\u043e \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f": "24.09.2024",
  "\u0414\u0430\u0442\u0430 \u043f\u0443\u0431\u043b\u0438\u043a\u0430\u0446\u0438\u0438": "11.05.2022",
  "\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440": "BDU:2022-02849",
  "\u0418\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440\u044b \u0434\u0440\u0443\u0433\u0438\u0445 \u0441\u0438\u0441\u0442\u0435\u043c \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0439 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "CVE-2022-1388",
  "\u0418\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e\u0431 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0430",
  "\u041a\u043b\u0430\u0441\u0441 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043a\u043e\u0434\u0430",
  "\u041d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 \u041f\u041e": "BIG-IP Access Policy Manager, BIG-IP Advanced Firewall Manager, BIG-IP Analytics, BIG-IP Application Acceleration Manager, BIG-IP Application Security Manager, BIG-IP Link Controller, BIG-IP Local Traffic Manager, BIG-IP Policy Enforcement Manager, BIG-IP Domain Name System, BIG-IP Fraud Protection Service",
  "\u041d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435 \u041e\u0421 \u0438 \u0442\u0438\u043f \u0430\u043f\u043f\u0430\u0440\u0430\u0442\u043d\u043e\u0439 \u043f\u043b\u0430\u0442\u0444\u043e\u0440\u043c\u044b": null,
  "\u041d\u0430\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0430 iControl REST API \u0441\u0440\u0435\u0434\u0441\u0442\u0432 \u0437\u0430\u0449\u0438\u0442\u044b \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439 BIG-IP, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0430\u044f \u043d\u0430\u0440\u0443\u0448\u0438\u0442\u0435\u043b\u044e \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u0435 \u043a\u043e\u043c\u0430\u043d\u0434\u044b, \u0438\u0437\u043c\u0435\u043d\u044f\u0442\u044c \u0438\u043b\u0438 \u0443\u0434\u0430\u043b\u044f\u0442\u044c \u0444\u0430\u0439\u043b\u044b",
  "\u041d\u0430\u043b\u0438\u0447\u0438\u0435 \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430": "\u0421\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0432 \u043e\u0442\u043a\u0440\u044b\u0442\u043e\u043c \u0434\u043e\u0441\u0442\u0443\u043f\u0435",
  "\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u043e\u0448\u0438\u0431\u043a\u0438 CWE": "\u041e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0434\u043b\u044f \u043a\u0440\u0438\u0442\u0438\u0447\u043d\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 (CWE-306)",
  "\u041e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0430 iControl REST API \u0441\u0440\u0435\u0434\u0441\u0442\u0432 \u0437\u0430\u0449\u0438\u0442\u044b \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439 BIG-IP \u0441\u0432\u044f\u0437\u0430\u043d\u0430 \u0441 \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435\u043c \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u043f\u043e\u0434\u043b\u0438\u043d\u043d\u043e\u0441\u0442\u0438 \u0434\u043b\u044f \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0432\u0430\u0436\u043d\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438. \u042d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u044f \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u043c\u043e\u0436\u0435\u0442 \u043f\u043e\u0437\u0432\u043e\u043b\u0438\u0442\u044c \u043d\u0430\u0440\u0443\u0448\u0438\u0442\u0435\u043b\u044e, \u0434\u0435\u0439\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u043c\u0443 \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u043e, \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u0435 \u043a\u043e\u043c\u0430\u043d\u0434\u044b, \u0438\u0437\u043c\u0435\u043d\u044f\u0442\u044c \u0438\u043b\u0438 \u0443\u0434\u0430\u043b\u044f\u0442\u044c \u0444\u0430\u0439\u043b\u044b",
  "\u041f\u043e\u0441\u043b\u0435\u0434\u0441\u0442\u0432\u0438\u044f \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": null,
  "\u041f\u0440\u043e\u0447\u0430\u044f \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f": null,
  "\u0421\u0432\u044f\u0437\u044c \u0441 \u0438\u043d\u0446\u0438\u0434\u0435\u043d\u0442\u0430\u043c\u0438 \u0418\u0411": "\u0414\u0430",
  "\u0421\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u041e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u043d\u0430",
  "\u0421\u043f\u043e\u0441\u043e\u0431 \u0443\u0441\u0442\u0440\u0430\u043d\u0435\u043d\u0438\u044f": "\u041e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0433\u043e \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f",
  "\u0421\u043f\u043e\u0441\u043e\u0431 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438": "\u041d\u0430\u0440\u0443\u0448\u0435\u043d\u0438\u0435 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438",
  "\u0421\u0441\u044b\u043b\u043a\u0438 \u043d\u0430 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0438": "https://support.f5.com/csp/article/K23605346\nhttps://packetstormsecurity.com/files/167007/F5-BIG-IP-Remote-Code-Execution.html\nhttp://packetstormsecurity.com/files/167007/F5-BIG-IP-Remote-Code-Execution.html\nhttps://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv",
  "\u0421\u0442\u0430\u0442\u0443\u0441 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u041f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0430 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u0435\u043c",
  "\u0422\u0438\u043f \u041f\u041e": "\u041f\u041e \u0441\u0435\u0442\u0435\u0432\u043e\u0433\u043e \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e-\u0430\u043f\u043f\u0430\u0440\u0430\u0442\u043d\u043e\u0433\u043e \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430, \u0421\u0435\u0442\u0435\u0432\u043e\u0435 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u043e, \u0421\u0435\u0442\u0435\u0432\u043e\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0435 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u043e, \u0421\u0440\u0435\u0434\u0441\u0442\u0432\u043e \u0437\u0430\u0449\u0438\u0442\u044b, \u041f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0435 \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u043e \u0437\u0430\u0449\u0438\u0442\u044b",
  "\u0422\u0438\u043f \u043e\u0448\u0438\u0431\u043a\u0438 CWE": "CWE-306",
  "\u0423\u0440\u043e\u0432\u0435\u043d\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438": "\u041a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (\u0431\u0430\u0437\u043e\u0432\u0430\u044f \u043e\u0446\u0435\u043d\u043a\u0430 CVSS 2.0 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 10)\n\u041a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (\u0431\u0430\u0437\u043e\u0432\u0430\u044f \u043e\u0446\u0435\u043d\u043a\u0430 CVSS 3.0 \u0441\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 9,8)"
}

CVE-2022-1388 (GCVE-0-2022-1388)

Vulnerability from cvelistv5 – Published: 2022-05-05 16:18 – Updated: 2025-10-21 23:15

Summary

On F5 BIG-IP 16.1.x versions prior to 16.1.2.2, 15.1.x versions prior to 15.1.5.1, 14.1.x versions prior to 14.1.4.6, 13.1.x versions prior to 13.1.5, and all 12.1.x and 11.6.x versions, undisclosed requests may bypass iControl REST authentication. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated

Severity ?

9.8 (Critical)


                        
                          CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE

CWE-306 - Missing Authentication for Critical Function

Assigner

References

URL

	Vendor	Product	Version
	F5	BIG-IP	Unaffected: 17.0.0 , < 17.0.x* (custom) Affected: 16.1.x , < 16.1.2.2 (custom) Affected: 15.1.x , < 15.1.5.1 (custom) Affected: 14.1.x , < 14.1.4.6 (custom) Affected: 13.1.x , < 13.1.5 (custom) Affected: 12.1.x , ≤ 12.1.6 (custom) Affected: 11.6.x , ≤ 11.6.5 (custom)

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted

BDU:2022-02849

CVE-2022-1388 (GCVE-0-2022-1388)

Tags

Sightings

Nomenclature