Vulnérabilité de type format string dans F5 BIG-IP

F5 BIG-IP est un équilibreur de charge qui offre une variété de fonctionnalités pour améliorer la sécurité et la performance des applications Web. Elle présente une vulnérabilité de type format string, nommée CVE-2023-22374.

Cette vulnérabilité permet à un attaquant authentifié, disposant d’un accès à  iControl SOAP via le port de gestion BIG-IP, d’effectuer un déni de services (DoS) sur le processus iControl SOAP CGI ou d’exécuter potentiellement des codes systèmes arbitraires.

Pour exploiter avec succès cette vulnérabilité, l’attaquant devrait avoir une connaissance de l’environnement dans lequel le composant vulnérable est déployé. Cette vulnérabilité est de sévérité Critique et son score CVSSv3 est de 9,9. 

IMPACT

Une attaque réussie permettrait de :

  • mettre hors service le processus serveur iControl SOAP
  • exécuter du code malveillant à distance sur le périphérique F5 BIG-IP en tant qu’utilisateur root

SYSTÈMES AFFECTÉS 

La vulnérabilité affecte les versions :

  • F5 BIG-IP 17.0.0 
  • F5 BIG-IP 16.1.2.2 à 16.1.3 
  • F5 BIG-IP 15.1.5.1 à 15.1.8 
  • F5 BIG-IP 14.1.4.6 à 14.1.5 
  • F5 BIG-IP 13.1.5

MESURES À PRENDRE 

Actuellement, il n’existe pas de correctif pour cette vulnérabilité. Pour l’atténuer, il est donc recommandé de :

  • limiter l’accès au port de gestion F5 BIG-IP
  • restreindre l’accès à l’API SOAP iControl du système
  • désactiver tous les accès à l’API SOAP d’iControl

RÉFÉRENCES