漏洞描述
2022年05月05日,F5官方发布了CVE-2022-1388 F5 BIG-IP iControl REST 远程代码执行漏洞。F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。iControl REST 是iControl 框架的演变,使用 REpresentational State Transfer (REST)。这允许用户或脚本与 F5 设备之间进行轻量级、快速的交互。CVE-2022-1388 中,攻击者可在无需身份认证的情况下调用相关Rest API,从而执行任意命令。
截止 2022年5月7日,互联网上尚未披露相关利用脚本,阿里云安全团队将持续关注跟进。
解决建议
1、建议相关使用客户请尽快升级 F5 BIG-IP 至最新版本。相关版本升级信息可参考 https://support.f5.com/csp/article/K23605346
2、若暂无法升级,可利用相关安全策略设置 F5 BIG-IP iControl REST 对可信地址开放。
参考链接