F5 ostrzega przed luką w zabezpieczeniach łańcucha znaków o wysokim poziomie ważności w BIG-IP, mogącą umożliwić uwierzytelnionemu atakującemu wywołanie stanu odmowy usługi (DoS) i – potencjalnie – wykonanie dowolnego kodu.
Wada bezpieczeństwa, śledzona jako CVE-2023-22374, wpływa na iControl SOAP, otwarte API, które umożliwia komunikację między systemami. Działa ono jako root.
Interfejs SOAP jest dostępny z sieci za pośrednictwem portu zarządzania BIG-IP lub własnych adresów IP i ogranicza się do kont administracyjnych.
Rapid7, odpowiedzialny za zidentyfikowanie błędu, wyjaśnia, iż wykorzystanie podatności jest możliwe poprzez wstawienie specyfikatorów ciągu formatu do określonych parametrów, które są przekazywane do funkcji syslog, w wyniku czego usługa odczytuje i zapisuje adresy pamięci, do których odwołuje się stos.
Firma zajmująca się cyberbezpieczeństwem wyjaśnia jednak, iż atakujący nie może odczytać pamięci, chyba iż ma dostęp do logów systemowych.
„Trudno jest wpływać na odczytywanie i zapisywanie konkretnych adresów, co sprawia, iż luka ta jest bardzo trudna do wykorzystania w praktyce (poza awarią usługi)” – wyjaśnia Rapid7.
Osoba atakująca jest w stanie spowodować awarię usługi, używając specyfikatora „%s” i może użyć specyfikatora „%n” do zapisania dowolnych danych do dowolnego wskaźnika na stosie, co potencjalnie może doprowadzić do zdalnego wykonania kodu, twierdzi Rapid7.
Zgodnie z informacjami podanymi przez F5 osoba atakująca, która chce wykorzystać lukę do wykonania kodu, musiałaby najpierw zebrać informacje o środowisku, w którym działa podatny na ataki komponent. Jednak tylko płaszczyzna kontrolna, a nie płaszczyzna danych, jest narażona na ten błąd.
„Najbardziej prawdopodobnym skutkiem udanego ataku jest awaria procesu serwera. Wykwalifikowany atakujący mógłby potencjalnie opracować exploit umożliwiający zdalne wykonanie kodu, który uruchomiłby się na urządzeniu F5 BIG-IP jako użytkownik root” – zauważa Rapid7.
Luka dotyczy wersji BIG-IP 13.1.5, 14.1.4.6 do 14.1.5, 15.1.5.1 do 15.1.8, 16.1.2.2 do 16.1.3 i 17.0.0. w tej chwili nie istnieje żadna łatka usuwająca lukę, ale F5 twierdzi, iż dostępna jest poprawka inżynierska (stan na 3.02.2023).
Ponieważ luka może zostać wykorzystana tylko przez uwierzytelnionych użytkowników, dostęp do interfejsu API i Control SOAP powinien być ograniczony do zaufanych administratorów.
CVE-2023-22374 ma wynik CVSS 7,5 dla systemów BIG-IP w standardowym trybie wdrażania i CVSS 8,5 dla instancji BIG-IP w trybie aplikacji.
Nie dotyczy to BIG-IP SPK, BIG-IQ, F5OS-A, F5OS-C, NGINX i Traffix SDC.