【资讯处-转知】 (ANA事件单通知:TACERT-ANA-2021083108082323)(【漏洞预警】F5 Networks之BIG-IP与BIG-IQ产品存在多个安全漏洞(CVE-2021-23025~23037),允许攻击者执行系统命令进而接管系统及远端执行任意程式码,请尽速确认并进行更新)

发布编号:TACERT-ANA-2021083108082323

发布时间:2021-08-31 08:57:24

事故类型:ANA-漏洞预警

发现时间:2021-08-29 18:06:24

影响等级:中

 

 

[主旨说明:]

【漏洞预警】F5 Networks之BIG-IP与BIG-IQ产品存在多个安全漏洞(CVE-2021-23025~23037),允许攻击者执行系统命令进而接管系统及远端执行任意程式码,请尽速确认并进行更新!

 

[内容说明:]

转发 国家资安资讯分享与分析中心 资安讯息警讯 NISAC-ANA-202108-1774

研究人员发现F5 Networks之BIG-IP与BIG-IQ产品存在多个安全漏洞(CVE-2021-23025~23037),攻击者可利用这些弱点,借由发送特制封包或存取未公开页面,进而执行系统命令进而取得管理员权限及远端执行任意程式码。

情资分享等级: WHITE(情资内容为可公开揭露之资讯)

 

[影响平台:]

受影响之BIG-IP产品与BIG-IQ产品版本如下:

1. CVE-2021-23025

  BIG-IP (All modules)

  15.0.0 - 15.1.0

  14.1.0 - 14.1.3

  13.1.0 - 13.1.3

  12.1.0 - 12.1.6

  11.6.1 - 11.6.5

2. CVE-2021-23026

  BIG-IP (All modules)

  16.0.0 - 16.0.1

  15.1.0 - 15.1.2

  14.1.0 - 14.1.4

  13.1.0 - 13.1.4

  12.1.0 - 12.1.6

  11.6.1 - 11.6.5


  BIG-IQ

  8.0.0 - 8.1.0

  7.0.0 - 7.1.0

  6.0.0 - 6.1.0

3. CVE-2021-23027

  BIG-IP (All modules)

  16.0.0 - 16.0.1

  15.1.0 - 15.1.2

  14.1.0 - 14.1.4

4. CVE-2021-23028

  BIG-IP (Advanced WAF, ASM)

  16.0.1 15.1.1 - 15.1.3

  14.1.3.1 - 14.1.4.1

  13.1.3.5 - 13.1.3.6

5. CVE-2021-23029

  BIG-IP (Advanced WAF, ASM)

  16.0.0 - 16.0.1

6. CVE-2021-23030

  BIG-IP (Advanced WAF, ASM)

  16.0.0 - 16.0.1

  15.1.0 - 15.1.3

  14.1.0 - 14.1.4

  13.1.0 - 13.1.4

  12.1.0 - 12.1.6

7. CVE-2021-23031

  BIG-IP (Advanced WAF, ASM)

  16.0.0 - 16.0.1

  15.1.0 - 15.1.2

  14.1.0 - 14.1.4

  13.1.0 - 13.1.3

  12.1.0 - 12.1.5

  11.6.1 - 11.6.5

8. CVE-2021-23032

  BIG-IP (DNS)

  16.0.0 - 16.0.1

  15.1.0 - 15.1.3

  14.1.0 - 14.1.4

  13.1.0 - 13.1.4

  12.1.0 - 12.1.6

9. CVE-2021-23033

  BIG-IP (Advanced WAF, ASM)

  16.0.0 - 16.0.1

  15.1.0 - 15.1.3

  14.1.0 - 14.1.4

  13.1.0 - 13.1.4

  12.1.0 - 12.1.6

10. CVE-2021-23034

  BIG-IP (All modules)

  16.0.0 - 16.0.1

  15.1.0 - 15.1.3

11. CVE-2021-23035

  BIG-IP (All modules)

  14.1.0 - 14.1.4

12. CVE-2021-23036

  BIG-IP (Advanced WAF, ASM, DataSafe)

  16.0.0 - 16.0.1

13. CVE-2021-23037

  BIG-IP (All modules)

  16.0.0 - 16.1.0

  15.1.0 - 15.1.3

  14.1.0 - 14.1.4

  13.1.0 - 13.1.4

  12.1.0 - 12.1.6

  11.6.1 - 11.6.5

 

[建议措施:]

目前F5 Networks官方已针对这些漏洞释出更新程式,请各机关联络设备维护厂商或参考以下网址进行更新:https://support.f5.com/csp/article/K50974556

 

[参考资料:]

1. F5修补Big-IP重大漏洞

2. https://support.f5.com/csp/article/K50974556

3. F5 Releases Critical Security Patch for BIG-IP and BIG-IQ Devices

(此通报仅在于告知相关资讯,并非为资安事件),如果您对此通报的内容有疑问或有关于此事件的建议,欢迎与我们连络。

教育机构资安通报应变小组

网址:https://info.cert.tanet.edu.tw/

专线电话:07-5250211

网络电话:98400000

E-Mail:service@cert.tanet.edu.tw

编辑