【資安漏洞預警】F5 Networks之BIG-IP與BIG-IQ產品存在多個安全漏洞(CVE-2021-23025~23037)，請儘速確認並進行更新！

• 主旨說明：【資安漏洞預警】F5 Networks之BIG-IP與BIG-IQ產品存在多個安全漏洞(CVE-2021-23025~23037)，允許攻擊者執行系統命令進而接管系統及遠端執行任意程式碼，請儘速確認並進行更新！

• 內容說明：
  • 轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-ANA-202108-1774。
  • 研究人員發現F5 Networks之BIG-IP與BIG-IQ產品存在多個安全漏洞(CVE-2021-23025~23037)，攻擊者可利用這些弱點，藉由發送特製封包或存取未公開頁面，進而執行系統命令進而取得管理員權限及遠端執行任意程式碼。
• 影響平台:
  受影響之BIG-IP產品與BIG-IQ產品版本如下：
  1. CVE-2021-23025
     • BIG-IP (All modules)
       • 15.0.0 - 15.1.0
       • 14.1.0 - 14.1.3
       • 13.1.0 - 13.1.3
       • 12.1.0 - 12.1.6
       • 11.6.1 - 11.6.5
  2. CVE-2021-23026
     • BIG-IP (All modules)
       • 16.0.0 - 16.0.1
       • 15.1.0 - 15.1.2
       • 14.1.0 - 14.1.4
       • 13.1.0 - 13.1.4
       • 12.1.0 - 12.1.6
       • 11.6.1 - 11.6.5
     • BIG-IQ
       • 8.0.0 - 8.1.0
       • 7.0.0 - 7.1.0
       • 6.0.0 - 6.1.0
  3. CVE-2021-23027
     • BIG-IP (All modules)
       • 16.0.0 - 16.0.1
       • 15.1.0 - 15.1.2
       • 14.1.0 - 14.1.4
  4. CVE-2021-23028
     • BIG-IP (Advanced WAF, ASM)
       • 16.0.1 15.1.1 - 15.1.3
       • 14.1.3.1 - 14.1.4.1
       • 13.1.3.5 - 13.1.3.6
  5. CVE-2021-23029
     • BIG-IP (Advanced WAF, ASM)
       • 16.0.0 - 16.0.1
  6. CVE-2021-23030
     • BIG-IP (Advanced WAF, ASM)
       • 16.0.0 - 16.0.1
       • 15.1.0 - 15.1.3
       • 14.1.0 - 14.1.4
       • 13.1.0 - 13.1.4
       • 12.1.0 - 12.1.6
  7. CVE-2021-23031
     • BIG-IP (Advanced WAF, ASM)
       • 16.0.0 - 16.0.1
       • 15.1.0 - 15.1.2
       • 14.1.0 - 14.1.4
       • 13.1.0 - 13.1.3
       • 12.1.0 - 12.1.5
       • 11.6.1 - 11.6.5
  8. CVE-2021-23032
     • BIG-IP (DNS)
       • 16.0.0 - 16.0.1
       • 15.1.0 - 15.1.3
       • 14.1.0 - 14.1.4
       • 13.1.0 - 13.1.4
       • 12.1.0 - 12.1.6
  9. CVE-2021-23033
     • BIG-IP (Advanced WAF, ASM)
       • 16.0.0 - 16.0.1
       • 15.1.0 - 15.1.3
       • 14.1.0 - 14.1.4
       • 13.1.0 - 13.1.4
       • 12.1.0 - 12.1.6
  10. CVE-2021-23034
      • BIG-IP (All modules)
        • 16.0.0 - 16.0.1
        • 15.1.0 - 15.1.3
  11. CVE-2021-23035
      • BIG-IP (All modules)
        • 14.1.0 - 14.1.4
  12. CVE-2021-23036
      • BIG-IP (Advanced WAF, ASM, DataSafe)
        • 16.0.0 - 16.0.1
  13. CVE-2021-23037
      • BIG-IP (All modules)
        • 16.0.0 - 16.1.0
        • 15.1.0 - 15.1.3
        • 14.1.0 - 14.1.4
        • 13.1.0 - 13.1.4
        • 12.1.0 - 12.1.6
        • 11.6.1 - 11.6.5
• 建議措施:
  • 目前F5 Networks官方已針對這些漏洞釋出更新程式，請各機關聯絡設備維護廠商或參考以下網址進行更新：https://support.f5.com/csp/article/K50974556
• 參考資料:
  1. https://www.ithome.com.tw/news/146337
  2. https://www.ithome.com.tw/news/146397
  3. https://support.f5.com/csp/article/K50974556
  4. https://thehackernews.com/2021/08/f5-releases-critical-security-patches.html

計算機與通訊中心
網路系統組 敬啟