F5 BIG-IP 高危漏洞可导致拒绝服务和代码执行

该漏洞影响一个公开的API即 iControl SOAP，该API用于赋能系统间的通信。SOAP接口可通过BIG-IP管理端口和/或自己的IP地址从网络访问，且仅限于管理员账户。

发现该漏洞的Rapid 7 公司研究员解释称，攻击者可将格式化字符串规范插入传递到系统日志函数的特定参数中，导致该服务读写栈中所引用的内存地址。不过研究人员解释称，只有对系统日志拥有访问权限，攻击者才能读取内存，“影响特定地址被读取和写入比较难，因此在实际中该漏洞很难被利用（除非服务崩溃）”。

研究人员提到，攻击者可通过 “%s”规则使服务崩溃并使用 ‘%n’ 规则将任意数据写入栈中的任意指针中，从而可能导致远程代码执行后果。

F5 公司在安全公告中指出，利用该漏洞实现代码执行后果的攻击者，首先需要收集运行该易受攻击组件的环境信息，而该漏洞仅暴露了控制面板而非数据面板。研究人员表示，“攻击成功造成的最可能的后果是导致服务器进程崩溃。技能较高的攻击者可能会开发远程代码执行exploit，以root用户身份在F5 BIG-IP设备上运行代码。”

该漏洞影响BIG-IP 版本13.1.5、14.1.4.6到14.1.5、15.1.5.1到15.1.8、16.1.2.2到16.1.3和17.0.0版本。目前该漏洞尚无补丁，不过F5 公司表示已经给出工程热修复方案。

由于该漏洞仅可遭认证用户利用，因此应仅允许受信任用户访问 iControl SOAP API。

CVE-2023-22374对于标准部署模式下的BIG-IP 系统的CVSS评分为7.5，而对于应用模式下的BIG-IP 实例的CVSS评分为8.5。

BIG-IP SPK、BIP-IQ、F5OS-C、NGINX和Traffix SDC不受该漏洞影响。

题图：Pixabay License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~