免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 F5 BIG-IP iControl REST身份验证绕过漏洞(CVE-2022-1388)
一、漏洞描述:
F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。
未经身份验证的攻击者可通过发送恶意制作的请求,从而绕过 BIG-IP 中的 iControl REST 身份验证,导致执行文件操作和禁用 BIG-IP 上的服务。
二、风险等级:
高危
三、影响范围:
16.1.0 < BIG-IP < 16.1.2,15.1.0 < BIG-IP < 15.1.5,14.1.0 < BIG-IP < 14.1.4,13.1.0 < BIG-IP < 13.1.4 ,12.1.0 < BIG-IP < 12.1.6,11.6.1 < BIG-IP < 11.6.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.f5.com/csp/article/K55879220
临时修复建议:
在可以安装固定版本之前,您可以使用以下部分作为临时缓解措施。这些缓解措施将对 iControl REST 的访问限制为仅受信任的网络或设备,从而限制了攻击面。
1. 通过自有 IP 地址阻止对 BIG-IP 系统的 iControl REST 接口的所有访问;
2. 通过管理界面将访问限制为仅受信任的用户和设备;
3. 修改 BIG-IP httpd 配置。
2 Cisco Enterprise NFVIS虚拟机逃逸漏洞(CVE-2022-20777)
一、漏洞描述:
Cisco是一间跨国际综合技术企业,主要开发、制作和售卖网络硬件、软件、通信设备等高科技产品及服务。
通过身份认证的攻击者可以通过从VM发送API调用来利用此漏洞,该调用将在NFVIS主机上以root级权限执行。成功的利用可以让攻击者完全破坏NFVIS主机。
二、风险等级:
高危
三、影响范围:
Cisco Enterprise NFVIS Release < 4.7.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://tools.cisco.com/security ... a-NFVIS-MUL-7DySRX9
3 Cisco Enterprise NFV Infrastructure Software命令注入漏洞(CVE-2022-20779)
一、漏洞描述:
Cisco是一间跨国际综合技术企业,主要开发、制作和售卖网络硬件、软件、通信设备等高科技产品及服务。
未经身份验证的攻击者可利用 NFVIS 映像注册过程中对输入的信息验证不当的问题,通过诱使管理员安装带有精心制作的元数据 VM 映像,从而以 root 权限执行命令。
二、风险等级:
高危
三、影响范围:
Cisco Enterprise NFVIS Release < 4.7.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://tools.cisco.com/security ... a-NFVIS-MUL-7DySRX9
4 Cisco Enterprise NFV Infrastructure Software XXE漏洞(CVE-2022-20780)
一、漏洞描述:
Cisco是一间跨国际综合技术企业,主要开发、制作和售卖网络硬件、软件、通信设备等高科技产品及服务。
未经身份验证的攻击者可利用 XML 解析器中的未对外部实体解析进行禁止的问题,通过诱使管理员导入一个精心制作的文件,从而将其写入任何已配置的 VM,导致在任何已配置的 VM 均可访问系统信息。
二、风险等级:
高危
三、影响范围:
Cisco Enterprise NFVIS Release < 4.7.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://tools.cisco.com/security ... a-NFVIS-MUL-7DySRX9 |
发表于 2022-5-6 09:21
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡