服务公告
F5 BIG-IP任意代码执行漏洞预警(CVE-2023-22374)
2023-02-03
一、概要
近日,华为云关注到F5官网发布安全公告,披露F5 BIG-IP存在一处任意代码执行漏洞(CVE-2023-22374)。由于组件iControl SOAP 中存在格式字符串漏洞,经过身份验证的攻击者可以利用漏洞在iControl SOAP CGI 进程上造成拒绝服务 (DoS) 或可能执行任意代码。在 BIG-IP 设备模式下,成功利用此漏洞的攻击者可以跨越安全边界。目前该漏洞的细节已公开,风险高。
BIG-IP本地流量管理器(LTM) 是一款出色的应用流量管理系统。华为云提醒使用F5 BIG-IP的用户及时安排自检并做好安全加固。
详情请参考链接:
https://my.f5.com/manage/s/article/K000130415
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
受影响版本:
F5 BIG-IP 17.x:17.0.0
F5 BIG-IP 16.x:16.1.2.2 - 16.1.3
F5 BIG-IP 15.x:15.1.5.1 - 15.1.8
F5 BIG-IP 14.x:14.1.4.6 - 14.1.5
F5 BIG-IP 13.x:13.1.5
安全版本:
目前暂无安全版本
四、漏洞处置
目前,官方暂未发布安全版本,建议受影响用户参考官方公告中提供的规避措施进行风险规避:
1、遵循最佳实践来保护对 BIG-IP 系统的管理接口和自身 IP 地址的访问;
2、对于 BIG-IP 系统,将对系统的 iControl SOAP API 配置白名单访问。如果不使用 iControl SOAP API,则可以通过将 iControl SOAP API 允许列表设置为空列表来禁用所有访问。
具体配置方法参考https://my.f5.com/manage/s/article/K000130415的“Mitigation”部分。
注:修复漏洞前请将资料备份,并进行充分测试。