服务公告

全部公告 > 安全公告 > F5 BIG-IP任意代码执行漏洞预警(CVE-2023-22374)

F5 BIG-IP任意代码执行漏洞预警(CVE-2023-22374)

2023-02-03

一、概要

近日,华为云关注到F5官网发布安全公告,披露F5 BIG-IP存在一处任意代码执行漏洞(CVE-2023-22374)。由于组件iControl SOAP 中存在格式字符串漏洞,经过身份验证的攻击者可以利用漏洞在iControl SOAP CGI 进程上造成拒绝服务 (DoS) 或可能执行任意代码。在 BIG-IP 设备模式下,成功利用此漏洞的攻击者可以跨越安全边界。目前该漏洞的细节已公开,风险高。

BIG-IP本地流量管理器(LTM) 是一款出色的应用流量管理系统。华为云提醒使用F5 BIG-IP的用户及时安排自检并做好安全加固。

详情请参考链接:

https://my.f5.com/manage/s/article/K000130415

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

受影响版本:

F5 BIG-IP 17.x:17.0.0

F5 BIG-IP 16.x:16.1.2.2 - 16.1.3

F5 BIG-IP 15.x:15.1.5.1 - 15.1.8

F5 BIG-IP 14.x:14.1.4.6 - 14.1.5

F5 BIG-IP 13.x:13.1.5

安全版本:

目前暂无安全版本

四、漏洞处置

目前,官方暂未发布安全版本,建议受影响用户参考官方公告中提供的规避措施进行风险规避:

1、遵循最佳实践来保护对 BIG-IP 系统的管理接口和自身 IP 地址的访问;

2、对于 BIG-IP 系统,将对系统的 iControl SOAP API 配置白名单访问。如果不使用 iControl SOAP API,则可以通过将 iControl SOAP API 允许列表设置为空列表来禁用所有访问。

具体配置方法参考https://my.f5.com/manage/s/article/K000130415的“Mitigation”部分。

注:修复漏洞前请将资料备份,并进行充分测试。