一、漏洞概述
|
CVE ID
|
CVE-2023-41373
|
发现时间
|
2023-10-19
|
|
类 型
|
目录遍历
|
等 级
|
高危
|
|
攻击向量
|
网络
|
所需权限
|
低
|
|
攻击复杂度
|
低
|
用户交互
|
无
|
|
PoC/EXP
|
未公开
|
在野利用
|
未发现
|
F5 公司是全球范围内应用交付网络(ADN)领域的知名厂商。BIG-IP 是F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。
10月19日,启明星辰VSRC监测到F5 BIG-IP中存在目录遍历漏洞(CVE-2023-41373),该漏洞的CVSSv3评分最高为9.9。
该目录遍历漏洞存在于BIG-IP配置实用程序(Configuration utility)中,由于在文件操作中使用用户提供的路径之前未对其进行正确验证,经过身份验证的威胁者可以通过向 BIG-IP 配置实用程序发送恶意设计的请求来利用该漏洞,成功利用可能在 BIG-IP系统上执行命令。对于运行Appliance模式的 BIG-IP系统,成功利用该漏洞可能绕过Appliance 模式限制。
二、影响范围
标准部署和Appliance模式下的BIG-IP(所有模块):
三、安全措施
3.1 升级版本
目前该漏洞已经修复,受影响的BIG-IP用户可升级到以下版本:
3.2 临时措施
3.3 通用建议
定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
3.4 参考链接
https://my.f5.com/manage/s/article/K000135689
https://my.f5.com/manage/s/article/K12815
https://www.zerodayinitiative.com/advisories/ZDI-23-1559/
原文始发于微信公众号(维他命安全):【漏洞通告】F5 BIG-IP目录遍历漏洞(CVE-2023-41373)
评论