Af Eskil Sørensen, 03/02/23
F5 advarer om en alvorlig sårbarhed i BIG-IP, der kan gøre det muligt for en autentificeret angriber at forårsage en denial-of-service (DoS)-tilstand og potentielt afvikle vilkårlig kode. Det skriver Security Week m.fl.
Sårbarheden har id’et CVE-2023-22374 og en score på 7,5-8,5 afhængig af om systemet er i implementeret efter standarden. Den påvirker sikkerhedsdefekten iControl SOAP. Denne er en åben API, der muliggør kommunikation mellem systemer, som kører som root. SOAP-grænsefladen er tilgængelig fra netværket, enten via BIG-IP-administrationsporten og/eller egne IP-adresser, men er begrænset til administrative konti.
Sårbarheden påvirker BIG-IP versionerne 13.1.5, 14.1.4.6 til 14.1.5, 15.1.5.1 til 15.1.8, 16.1.2.2 til 16.1.3 og 17.0.0. Der er ingen patch tilgængelig for sårbarheden, men F5 oplyser ifølge Security Week, at et teknisk hotfix er tilgængeligt. Da fejlen kun kan udnyttes af godkendte brugere, bør adgang til iControl SOAP API være begrænset til betroede brugere, oplyses det.
Det fremgår yderligere, at BIG-IP SPK, BIG-IQ, F5OS-A, F5OS-C, NGINX og Traffix SDC ikke påvirkes .
Links:
https://www.securityweek.com/f5-working-on-patch-for-big-ip-flaw-that-can-lead-to-dos-code-execution/
https://securityaffairs.com/141728/security/f5-big-ip-bug.html
https://my.f5.com/manage/s/article/K000130496
https://www.rapid7.com/blog/post/2023/02/01/cve-2023-22374-f5-big-ip-format-string-vulnerability/