您的位置：首页 >科技 >

F5 BIG-IP格式化字符串漏洞安全风险通告|今日快讯

2023-02-05 13:52:23 来源：互联网

F5 BIG-IP是美国F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。

近日，奇安信CERT监测到F5官方发布F5 BIG-IP格式化字符串漏洞(CVE-2023-22374)通告。经过身份认证的远程攻击者通过在GET请求参数中插入格式化字符串(如%s或%n)，可使得iControl SOAP CGI进程崩溃，或可能执行任意代码。目前，此漏洞技术细节及PoC已在互联网上公开，奇安信CERT复现此漏洞PoC，经研判，漏洞利用影响有限，鉴于漏洞影响产品部署量较大，建议客户尽快做好自查及防护。

【资料图】

漏洞名称	F5 BIG-IP 格式化字符串漏洞
公开时间	2023-02-01	更新时间	2023-02-03
CVE编号	CVE-2023-22374	其他编号	QVD-2023-3459
威胁类型	代码执行拒绝服务	技术类型	可控的格式化字符串
厂商	F5	产品	BIG-IP
风险等级
奇安信CERT风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
已公开	未公开	未发现	已公开
漏洞描述	F5 BIG-IP的iControl SOAP接口(iControlPortal.cgi)中存在格式化字符串漏洞，通过在GET参数中插入格式化字符串(如%s或%n)，经过身份认证的远程攻击者可利用此漏洞使iControl SOAP CGI进程崩溃，甚至有可能执行任意代码。
影响版本	F5 BIG-IP 17.x == 17.0.0 16.1.2.2 <= F5 BIG-IP 16.x <= 16.1.3 15.1.5.1 <= F5 BIG-IP 15.x <= 15.1.8 14.1.4.6 <= F5 BIG-IP 14.x <= 14.1.5 F5 BIG-IP 13.x == 13.1.5
其他受影响组件	无

目前，奇安信CERT已成功复现F5 BIG-IP格式化字符串漏洞(CVE-2023-22374)，截图如下：

威胁评估

漏洞名称	F5 BIG-IP 格式化字符串漏洞
CVE编号	CVE-2023-22374	其他编号		QVD-2023-3459
CVSS 3.1评级	高危	CVSS 3.1分数		7.5
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		高
	所需权限（PR）		用户交互（UI）
	低权限		不需要
	影响范围（S）		机密性影响（C）
	不改变		高
	完整性影响（I）		可用性影响（A）
	高		高
危害描述	经过身份认证的远程攻击者可利用此漏洞使iControl SOAP CGI进程崩溃，甚至有可能执行任意代码。

处置建议

目前官方暂未发布此漏洞修护补丁，建议受影响用户通过以下缓解措施来缓解此漏洞：

通过限制对iControl SOAP API的访问为仅允许受信任的用户，可参考以下链接进行设置：

https://my.f5.com/manage/s/article/K17459

若无需使用iControl SOAP API，则可通过以下步骤将iControl SOAP API的允许列表设置为空列表来禁用所有访问：

1、通过输入以下命令登录到 TMOS Shell ( tmsh )：

tmsh

2、通过输入以下命令将所有 IP 地址或 IP 地址范围从允许的地址列表中删除：

modify /sys icontrol-soap allowreplace-all-with { }

3、通过输入以下命令保存更改：

save /sys config

参考资料

[1]https://my.f5.com/manage/s/article/K000130415

标签：技术细节请求参数负载均衡

F5 BIG-IP格式化字符串漏洞安全风险通告|今日快讯

相关阅读

F5 BIG-IP格式化字符串漏洞安全风险通...

Adobe Acrobat和Reader任意代码执行漏...

ImageMagick多个高危漏洞安全风险通告报资讯

热点在线丨CSET专家分析：美国投资者对...

热讯：技术高管冒充黑客勒索公司导致市...

今日热文：Google Fi数据泄漏，黑客发...

热点文章

F5 BIG-IP格式化字符串漏洞安全风险通告|今日快讯

相关阅读

热点文章

推荐文章