F5, BIG-IP’de, kimliği doğrulanmış bir saldırganın bir hizmet reddi (DoS) sorununa neden olmasına ve muhtemelen rasgele kod yürütmesine izin verebilecek yüksek önem dereceli bir biçim dizesi güvenlik açığı bildiriyor.
F5, “iControl SOAP’ta, kimliği doğrulanmış bir saldırganın iControl SOAP CGI sürecini çökertmesine veya potansiyel olarak rasgele kod yürütmesine olanak tanıyan bir biçim dizisi güvenlik açığı bulunmaktadır” diyor.
“BIG-IP cihaz modunda, bu güvenlik açığından başarılı bir şekilde yararlanılması, saldırganın bir güvenlik sınırını geçmesine izin verebilir”.
Rapid7’den güvenlik araştırmacısı Ron Bowes, CVE-2023-22374 (CVSS puanı: 7.5) olarak izlenen hatayı 6 Aralık 2022’de bulup ifşa etmekle tanınır.
Raporlar, saldırganın komut yürütme saldırı vektöründen uygun şekilde yararlanmak için duyarlı bileşenin bulunduğu ortamı öğrenmesi gerektiğini söylüyor.
“Başarılı bir saldırının en olası etkisi sunucu sürecini çökertmektir. Yetenekli bir saldırgan potansiyel olarak, kök kullanıcı olarak F5 BIG-IP cihazında kod çalıştıracak bir uzaktan kod yürütme istismarı geliştirebilir,” diyor Rapid7.
Bu yalnızca bir kontrol düzlemi sorunudur; veri düzlemi pozlaması yoktur. Belirli bir lisans, belirli Sanal Kümelenmiş Çoklu İşleme (vCMP) konuk örnekleri için etkinleştirilebilen veya devre dışı bırakılabilen cihaz modunu zorunlu kılar.
Sorun aşağıdaki BIG-IP sürümlerini etkiler ve kökleri iControl Basit Nesne Erişim Protokolü (SOAP) arayüzündedir:
- 13.1.5
- 14.1.4.6 – 14.1.5
- 15.1.5.1 – 15.1.8
- 16.1.2.2 – 16.1.3 ve
- 17.0.0
F5, BIG-IP SPK, BIG-IQ, F5OS-A, F5OS-C, NGINX ve Traffix SDC’nin etkilenmediğini belirtir.
Ayrıca, başarılı bir saldırı, iCONtrol SOAP arabiriminin kök olarak çalıştığı göz önüne alındığında, bir tehdit aktörünün kök kullanıcı olarak cihazda kod yürütmeyi uzaktan tetiklemesine izin verebilir.
Bowes’a göre bu, syslog günlük kaydı işlevine iletilen bir sorgu bağımsız değişkenine rasgele biçim dize karakterleri girerek yapılabilir.
Rapid7’ye göre “Belirli adresleri okumak ve yazmak için etkilemek zordur, bu da bu güvenlik açığından yararlanmayı (hizmeti çökertmenin ötesinde) pratikte çok zorlaştırır.”
BIG-IP’nin desteklenen sürümleri için F5, sorunu bir mühendislik düzeltmesiyle çözdüğünü belirtti. Bu sorundan etkilenen müşteriler, BIG-IP’nin desteklenen en son sürümleri için mühendislik düzeltmesini F5 İndirme sitesinden indirebilir.
Azaltma
Şirket, kullanıcılara bir çözüm olarak iControl SOAP API’ye erişimi yalnızca güvenilir kullanıcılarla sınırlamalarını tavsiye ediyor.
“BIG-IP sistemi için, sistemin iControl SOAP API’sine erişimi yalnızca güvenilen kullanıcılarla sınırlayın”.
F5, “iControl SOAP API kullanmıyorsanız, iControl SOAP API izin verilenler listesini boş bir listeye ayarlayarak tüm erişimi devre dışı bırakabilirsiniz” diyor.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin