Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-06663

Опубликовано: 10 окт. 2023
Источник: fstec
CVSS3: 9.9
CVSS2: 9
EPSS Низкий

Описание

Уязвимость утилиты настройки программных продуктов BIG-IP средства контроля доступа и удаленной аутентификации BIG-IP Access Policy Manager, а также программных средств BIG-IP Advanced Firewall Manager, BIG-IP Analytics, BIG-IP Application Acceleration Manager, BIG-IP Application Security Manager, BIG-IP Hybrid Defender, BIG-IP Domain Name System, BIG-IP Fraud Protection Service, BIG-IP Link Controller, BIG-IP Local Traffic Manager, BIG-IP Policy Enforcement Manager, BIG-IP Orchestrator связана с возможностью обхода каталога. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выйти из изолированной программной среды или выполнить произвольный код путём отправки специально сформированных запросов

Вендор

F5 Networks, Inc.

Наименование ПО

BIG-IP Access Policy Manager
BIG-IP Advanced Firewall Manager
BIG-IP Analytics
BIG-IP Application Acceleration Manager
BIG-IP Application Security Manager
BIG-IP Fraud Protection Service
BIG-IP Link Controller
BIG-IP Local Traffic Manager
BIG-IP Policy Enforcement Manager
BIG-IP DDos Hybrid Defender
BIG-IP SSL Orchestrator

Версия ПО

от 13.1.0 до 13.1.5 включительно (BIG-IP Access Policy Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Advanced Firewall Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Analytics)
от 13.1.0 до 13.1.5 включительно (BIG-IP Application Acceleration Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Application Security Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Fraud Protection Service)
от 13.1.0 до 13.1.5 включительно (BIG-IP Link Controller)
от 13.1.0 до 13.1.5 включительно (BIG-IP Local Traffic Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Policy Enforcement Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP DDos Hybrid Defender)
от 13.1.0 до 13.1.5 включительно (BIG-IP SSL Orchestrator)
от 17.1.0 до 17.1.0.3 (BIG-IP Advanced Firewall Manager)
от 16.1.0 до 16.1.4.1 (BIG-IP Advanced Firewall Manager)
от 15.1.0 до 15.1.10.2 (BIG-IP Advanced Firewall Manager)
от 14.1.0 до 14.1.5.6 (BIG-IP Advanced Firewall Manager)
от 17.1.0 до 17.1.0.3 (BIG-IP Application Security Manager)
от 16.1.0 до 16.1.4.1 (BIG-IP Application Security Manager)
от 15.1.0 до 15.1.10.2 (BIG-IP Application Security Manager)
от 14.1.0 до 14.1.5.6 (BIG-IP Application Security Manager)
от 14.1.0 до 14.1.5.6 (BIG-IP Link Controller)
от 15.1.0 до 15.1.10.2 (BIG-IP Link Controller)
от 16.1.0 до 16.1.4.1 (BIG-IP Link Controller)
от 17.1.0 до 17.1.0.3 (BIG-IP Link Controller)
от 16.1.0 до 16.1.4.1 (BIG-IP Local Traffic Manager)
от 15.1.0 до 15.1.10.2 (BIG-IP Local Traffic Manager)
от 14.1.0 до 14.1.5.6 (BIG-IP Local Traffic Manager)
от 17.1.0 до 17.1.0.3 (BIG-IP Local Traffic Manager)
от 14.1.0 до 14.1.5.6 (BIG-IP Policy Enforcement Manager)
от 15.1.0 до 15.1.10.2 (BIG-IP Policy Enforcement Manager)
от 16.1.0 до 16.1.4.1 (BIG-IP Policy Enforcement Manager)
от 17.1.0 до 17.1.0.3 (BIG-IP Policy Enforcement Manager)
от 14.1.0 до 14.1.5.6 (BIG-IP Fraud Protection Service)
от 15.1.0 до 15.1.10.2 (BIG-IP Fraud Protection Service)
от 16.1.0 до 16.1.4.1 (BIG-IP Fraud Protection Service)
от 17.1.0 до 17.1.0.3 (BIG-IP Fraud Protection Service)
от 14.1.0 до 14.1.5.6 (BIG-IP DDos Hybrid Defender)
от 15.1.0 до 15.1.10.2 (BIG-IP DDos Hybrid Defender)
от 16.1.0 до 16.1.4.1 (BIG-IP DDos Hybrid Defender)
от 17.1.0 до 17.1.0.3 (BIG-IP DDos Hybrid Defender)
от 14.1.0 до 14.1.5.6 (BIG-IP SSL Orchestrator)
от 15.1.0 до 15.1.10.2 (BIG-IP SSL Orchestrator)
от 16.1.0 до 16.1.4.1 (BIG-IP SSL Orchestrator)
от 17.1.0 до 17.1.0.3 (BIG-IP SSL Orchestrator)
от 14.1.0 до 14.1.5.6 (BIG-IP Access Policy Manager)
от 15.1.0 до 15.1.10.2 (BIG-IP Access Policy Manager)
от 16.1.0 до 16.1.4.1 (BIG-IP Access Policy Manager)
от 17.1.0 до 17.1.0.3 (BIG-IP Access Policy Manager)
от 14.1.0 до 14.1.5.6 (BIG-IP Analytics)
от 15.1.0 до 15.1.10.2 (BIG-IP Analytics)
от 16.1.0 до 16.1.4.1 (BIG-IP Analytics)
от 17.1.0 до 17.1.0.3 (BIG-IP Analytics)
от 14.1.0 до 14.1.5.6 (BIG-IP Application Acceleration Manager)
от 15.1.0 до 15.1.10.2 (BIG-IP Application Acceleration Manager)
от 16.1.0 до 16.1.4.1 (BIG-IP Application Acceleration Manager)
от 17.1.0 до 17.1.0.3 (BIG-IP Application Acceleration Manager)

Тип ПО

ПО сетевого программно-аппаратного средства
Средство защиты
Программное средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение возможности доступа только доверенными IP-адресами через использование внутренних настроек программных продуктов BIG-IP;
- ограничение доступа к утилите настройки через интерфейс управления;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа.
Использование рекомендаций производителя:
https://my.f5.com/manage/s/article/K000135689

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 85%
0.02644
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-41373

CVSS3: 9.9
nvd
больше 2 лет назад

A directory traversal vulnerability exists in the BIG-IP Configuration Utility that may allow an authenticated attacker to execute commands on the BIG-IP system. For BIG-IP system running in Appliance mode, a successful exploit can allow the attacker to cross a security boundary.  Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

github логотип

GHSA-3v6h-m7q4-2c4g

CVSS3: 9.9
github
больше 2 лет назад

A directory traversal vulnerability exists in the BIG-IP Configuration Utility that may allow an authenticated attacker to execute commands on the BIG-IP system. For BIG-IP system running in Appliance mode, a successful exploit can allow the attacker to cross a security boundary.  Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

EPSS

Процентиль: 85%
0.02644
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2