【漏洞通告】F5 BIG-IP任意代码执行漏洞（CVE-2023-22374）

0x00 漏洞概述

0x01 漏洞详情

F5 Networks是全球范围内应用交付网络（ADN）领域的知名厂商，致力于帮助全球大型企业和服务提供商实现虚拟化、云计算和灵活的IT业务服务。

2月1日，F5发布安全公告，修复了BIG-IP中的一个任意代码执行漏洞（CVE-2023-22374），其CVSSv3评分最高为8.5，目前该漏洞的细节已公开。

F5 BIG-IP iControl SOAP中存在格式化字符串漏洞，经过身份验证的用户可以通过 BIG-IP 管理端口或自身 IP 地址对 iControl SOAP 进行网络访问，从而在 iControl SOAP CGI 进程上造成拒绝服务 (DoS) 或可能执行任意系统命令或代码；在BIG-IP设备模式下，成功利用该漏洞可能导致跨越安全边界。

影响范围

标准部署模式、设备模式下的BIG-IP（所有模块）：

F5 BIG-IP 17.x：17.0.0

F5 BIG-IP 16.x：16.1.2.2 - 16.1.3

F5 BIG-IP 15.x：15.1.5.1 - 15.1.8

F5 BIG-IP 14.x：14.1.4.6 - 14.1.5

F5 BIG-IP 13.x：13.1.5

0x02 安全建议

目前该漏洞暂无可用补丁，但 F5 表示可以使用工程修补程序（不保证可用性），可参考：

https://my.f5.com/manage/s/article/K4918

临时缓解措施：

l遵循最佳实践来保护对BIG-IP系统的管理接口和自身IP地址的访问，将有助于最大限度地减少攻击面。

l对于 BIG-IP 系统，限制对系统的 iControl SOAP API 的访问，只允许受信任的用户。如果不使用iControl SOAP API，则可以通过将 iControl SOAP API 的允许列表设置为空列表来禁止所有访问。为此，请执行以下操作：

1.通过输入以下命令登录到TMOS Shell（tmsh）。

tmsh

2.输入以下命令从允许的地址列表中删除所有IP地址或IP地址范围。

modify /sys icontrol-soap allow replace-all-with { }

3.通过输入以下命令来保存更改。

save /sys config

注意：

阻止 iControl SOAP IP 地址将阻止将新设备添加到设备信任。

BIG-IQ不受该漏洞影响。

0x03 参考链接

https://my.f5.com/manage/s/article/K000130415

https://www.rapid7.com/blog/post/2023/02/01/cve-2023-22374-f5-big-ip-format-string-vulnerability/

0x04 版本信息

0x05 附录

公司简介

启明星辰成立于1996年，是由留美博士严望佳女士创建的、拥有完全自主知识产权的信息安全高科技企业。是国内最具实力的信息安全产品、安全服务解决方案的领航企业之一。

公司总部位于北京市中关村软件园启明星辰大厦，公司员工6000余人，研发团队1200余人, 技术服务团队1300余人。在全国各省、市、自治区设立分支机构六十多个，拥有覆盖全国的销售体系、渠道体系和技术支持体系。公司于2010年6月23日在深圳中小板挂牌上市。（股票代码：002439）

多年来，启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务，帮助客户全面提升其IT基础设施的安全性和生产效能，为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。

关于我们

启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。

关注以下公众号，获取全球最新安全资讯：

原文始发于微信公众号（维他命安全）：【漏洞通告】F5 BIG-IP任意代码执行漏洞（CVE-2023-22374）