一、漏洞概述
近日,绿盟科技CERT监测发现网上公开披露了F5 BIG-IP任意代码执行漏洞(CVE-2023-22374)的技术细节。由于在BIG-IP iControl SOAP中存在格式字符串漏洞,具有管理员权限的远程攻击者可通过BIG-IP管理端口或自身IP地址对iControl SOAP接口进行网络访问,从而实现执行任意命令或拒绝服务攻击。同时,在设备模式BIG-IP中,攻击者成功利用此漏洞可以跨越安全边界,请受影响的用户尽快采取措施进行防护。
F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。
参考链接:
https://my.f5.com/manage/s/article/K000130415
二、影响范围
受影响版本
- BIG-IP 17.0.0
- BIG-IP 16.1.2.2 – 16.1.3
- BIG-IP 15.1.5.1 – 15.1.8
- BIG-IP 14.1.4.6 – 14.1.5
- BIG-IP 13.1.5
三、漏洞检测
- 版本检测
一、用户可通过在TMOS shell(tmsh)中输入以下命令,查看当前使用的版本:
| show /sys version |
二、用户也可登录Web管理界面查看当前BIG-IP的版本:
若版本在受影响范围内即存在安全风险。
四、漏洞防护
- 官方升级
目前官方暂未发布安全版本修复此漏洞,请用户关注厂商安全通告动态并及时更新,官网链接:
https://my.f5.com/manage/s/
- 临时防护措施
若相关用户暂时无法进行升级操作,可采用下列措施进行缓解。
1、在不影响业务的情况下,可通过以下链接对BIG-IP系统的管理接口和自身IP地址进行访问限制。
| 对于自身IP | https://my.f5.com/manage/s/article/K13092
https://my.f5.com/manage/s/article/K17333 https://my.f5.com/manage/s/article/K31003634 https://my.f5.com/manage/s/article/K51358480 |
| 对于管理界面 | https://my.f5.com/manage/s/article/K46122561
https://my.f5.com/manage/s/article/K69354049 |
2、对于 BIG-IP 系统,可通过对系统的 iControl SOAP API 进行访问限制。
3、若用户不使用iControl SOAP API,则可以通过将 iControl SOAP API 的允许列表设置为空列表来禁止所有访问,操作如下:
①通过输入以下命令登录到TMOS Shell(tmsh)
| tmsh |
②输入以下命令从允许的地址列表中删除所有IP地址或IP地址范围
| modify /sys icontrol-soap allow replace-all-with { } |
③通过输入以下命令来保存更改。
| save /sys config |
详情可参考:https://my.f5.com/manage/s/article/K000130415
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。