F5修补Big-IP重大漏洞

F5本周发布安全公告，包含13个高风险及1个允许攻击者执行指令或删改档案的重大安全漏洞。

此次F5修补的30个漏洞中包括13个高风险漏洞，其中CVE-2021-23031属于权限升级漏洞。它位于流量管理员UI（TMUI）的组态工具中，一旦遭到开采，具有存取权限的攻击者就可于系统上执行任意系统指令、新增、删改档案，或是关闭服务，甚至可让攻击者接管整台系统。

这个漏洞影响BIG-IP Advanced WAF（Web Application Firewall）11.x-16.x版，和 BIG-IP ASM（Application Security Manager），CVSS 3.0 风险值8.8，但在纯装置模式（Appliance Mode Only）下风险值高达9.9。

由于这漏洞允许合法使用者发动攻击，故没有有效的缓解方法，F5建议用户尽速升级到最新版本以确保安全。

其他高风险漏洞风险值分布于7.2和7.5之间。其中Big IP Advanced WAF 与ASM还分别存在其他4项漏洞（CVE-2021-23028、CVE-2021-23029、CVE-2021-23030、CVE-2021-23032、CVE-2021-23033），导致程式终结及服务器请求伪造（Server-Side Request Forgery）攻击。其他漏洞还有跨站脚本程式码（XXS）、远端程式码执行（RCE）攻击及程式中止，影响产品包括BIG-IP DNS、BIG-IP TMM、BIG-IP TMUI、iControl等。