F5 BIG-IP任意代碼執(zhí)行漏洞預(yù)警（CVE-2023-22374）

2023-02-03

一、概要

近日，華為云關(guān)注到F5官網(wǎng)發(fā)布安全公告，披露F5 BIG-IP存在一處任意代碼執(zhí)行漏洞（CVE-2023-22374）。由于組件iControl SOAP 中存在格式字符串漏洞，經(jīng)過身份驗證的攻擊者可以利用漏洞在iControl SOAP CGI 進(jìn)程上造成拒絕服務(wù) (DoS) 或可能執(zhí)行任意代碼。在 BIG-IP 設(shè)備模式下，成功利用此漏洞的攻擊者可以跨越安全邊界。目前該漏洞的細(xì)節(jié)已公開，風(fēng)險高。

BIG-IP本地流量管理器(LTM) 是一款出色的應(yīng)用流量管理系統(tǒng)。華為云提醒使用F5 BIG-IP的用戶及時安排自檢并做好安全加固。

詳情請參考鏈接：

https://my.f5.com/manage/s/article/K000130415

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

受影響版本：

F5 BIG-IP 17.x：17.0.0

F5 BIG-IP 16.x：16.1.2.2 - 16.1.3

F5 BIG-IP 15.x：15.1.5.1 - 15.1.8

F5 BIG-IP 14.x：14.1.4.6 - 14.1.5

F5 BIG-IP 13.x：13.1.5

安全版本：

目前暫無安全版本

四、漏洞處置

目前，官方暫未發(fā)布安全版本，建議受影響用戶參考官方公告中提供的規(guī)避措施進(jìn)行風(fēng)險規(guī)避：

1、遵循最佳實踐來保護(hù)對 BIG-IP 系統(tǒng)的管理接口和自身 IP 地址的訪問；

2、對于 BIG-IP 系統(tǒng)，將對系統(tǒng)的 iControl SOAP API 配置白名單訪問。如果不使用 iControl SOAP API，則可以通過將 iControl SOAP API 允許列表設(shè)置為空列表來禁用所有訪問。

具體配置方法參考https://my.f5.com/manage/s/article/K000130415的“Mitigation”部分。

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。