思科 IOx 和 F5 BIG-IP 产品中发现新的高严重性漏洞

F5 警告说，影响 BIG-IP 设备的高严重性缺陷可能导致拒绝服务 （DoS） 或任意代码执行。

该问题的根源在于 iControl 简单对象访问协议 （SOAP） 接口，并影响以下版本的 BIG-IP -

• 13.1.5

• 14.1.4.6 - 14.1.5

• 15.1.5.1 - 15.1.8

• 16.1.2.2 - 16.1.3，以及

• 17.0.0

“iControl SOAP中存在一个格式字符串漏洞，允许经过身份验证的攻击者使iControl SOAP CGI进程崩溃，或者可能执行任意代码，”该公司在一份公告中表示。“在设备模式 BIG-IP 中，成功利用此漏洞可使攻击者跨越安全边界。

Rapid2023 的安全研究员 Ron Bowes 被跟踪为 CVE-22374-7（CVSS 分数：5.8/5.7），被认为在 6 年 2022 月 <> 日发现并报告了该漏洞。

鉴于 iCOntrol SOAP 接口以根用户身份运行，成功利用此漏洞可允许威胁参与者以根用户身份远程触发设备上的代码执行。Bowes说，这可以通过将任意格式的字符串字符插入到传递给称为syslog的日志记录函数的查询参数中来实现。

F5 指出，它已在可用于受支持的 BIG-IP 版本的工程修补程序中解决了该问题。作为一种解决方法，该公司建议用户将对iControl SOAP API的访问限制为仅受信任的用户。

思科修补思科 IOx 中的命令注入错误

此次披露之际，思科发布了更新，以修复思科IOx应用程序托管环境中的一个缺陷（CVE-2023-20076，CVSS分数：7.2），该漏洞可能为经过身份验证的远程攻击者打开大门，以根用户身份在底层主机操作系统上执行任意命令。

该漏洞会影响运行思科 IOS XE 软件并启用了思科 IOx 功能的设备，以及 800 系列工业 ISR、催化剂接入点、CGR1000 计算模块、IC3000 工业计算网关、IR510 WPAN 工业路由器。

发现该问题的网络安全公司Trellix表示，它可以被武器化，以持续系统重启和固件升级的方式注入恶意包，只有在恢复出厂设置后才能将其删除。“不良行为者可以使用CVE-2023-20076恶意篡改该供应链中任何地方受影响的思科设备之一，”它说，警告对更广泛的供应链的潜在威胁。“CVE-2023-20076 提供的访问级别可能允许安装和隐藏后门，使篡改对最终用户完全透明。”

虽然该漏洞需要攻击者进行身份验证并具有管理员权限，但值得注意的是，攻击者可以找到多种方法来提升权限，例如网络钓鱼或依靠用户可能无法更改默认凭据的可能性。

Trellix 还发现 TAR 存档提取期间的安全检查绕过，这可能允许攻击者以根用户身份在底层主机操作系统上写入。此后修复了该缺陷的网络设备专业表示，该漏洞不会构成直接风险，因为“代码被放在那里用于未来的应用程序打包支持”。

原文始发于微信公众号（黑猫安全）：思科 IOx 和 F5 BIG-IP 产品中发现新的高严重性漏洞