Описание
Уязвимость интерфейса iControl SOAP средств контроля доступа и удаленной аутентификации BIG-IP связана с использованием неконтролируемых форматных строк. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Вендор
F5 Networks, Inc.
Наименование ПО
BIG-IP Access Policy Manager
BIG-IP Advanced Firewall Manager
BIG-IP Analytics
BIG-IP Application Acceleration Manager
BIG-IP Application Security Manager
BIG-IP Domain Name System
BIG-IP Fraud Protection Service
BIG-IP Link Controller
BIG-IP Local Traffic Manager
BIG-IP Policy Enforcement Manager
BIG-IP DDos Hybrid Defender
BIG-IP SSL Orchestrator
Версия ПО
от 13.1.0 до 13.1.5 включительно (BIG-IP Access Policy Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Advanced Firewall Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Analytics)
от 13.1.0 до 13.1.5 включительно (BIG-IP Application Acceleration Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Application Security Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Domain Name System)
от 13.1.0 до 13.1.5 включительно (BIG-IP Fraud Protection Service)
от 13.1.0 до 13.1.5 включительно (BIG-IP Link Controller)
от 13.1.0 до 13.1.5 включительно (BIG-IP Local Traffic Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP Policy Enforcement Manager)
17.0.0 (BIG-IP Access Policy Manager)
17.0.0 (BIG-IP Advanced Firewall Manager)
17.0.0 (BIG-IP Analytics)
17.0.0 (BIG-IP Application Acceleration Manager)
17.0.0 (BIG-IP Fraud Protection Service)
17.0.0 (BIG-IP Link Controller)
17.0.0 (BIG-IP Local Traffic Manager)
17.0.0 (BIG-IP Policy Enforcement Manager)
от 13.1.0 до 13.1.5 включительно (BIG-IP DDos Hybrid Defender)
от 13.1.0 до 13.1.5 включительно (BIG-IP SSL Orchestrator)
от 14.1.4.6 до 14.1.5.4 (BIG-IP Access Policy Manager)
от 15.1.5.1 до 15.1.8.2 (BIG-IP Access Policy Manager)
от 16.1.2.2 до 16.1.3.4 (BIG-IP Access Policy Manager)
от 16.1.2.2 до 16.1.3.4 (BIG-IP Advanced Firewall Manager)
от 15.1.5.1 до 15.1.8.2 (BIG-IP Advanced Firewall Manager)
от 14.1.4.6 до 14.1.5.4 (BIG-IP Advanced Firewall Manager)
от 14.1.4.6 до 14.1.5.4 (BIG-IP Analytics)
от 15.1.5.1 до 15.1.8.2 (BIG-IP Analytics)
от 16.1.2.2 до 16.1.3.4 (BIG-IP Analytics)
от 14.1.4.6 до 14.1.5.4 (BIG-IP Application Acceleration Manager)
от 15.1.5.1 до 15.1.8.2 (BIG-IP Application Acceleration Manager)
от 16.1.2.2 до 16.1.3.4 (BIG-IP Application Acceleration Manager)
17.0.0 (BIG-IP Application Security Manager)
от 14.1.4.6 до 14.1.5.4 (BIG-IP Application Security Manager)
от 15.1.5.1 до 15.1.8.2 (BIG-IP Application Security Manager)
от 16.1.2.2 до 16.1.3.4 (BIG-IP Application Security Manager)
17.0.0 (BIG-IP DDos Hybrid Defender)
от 14.1.4.6 до 14.1.5.4 (BIG-IP DDos Hybrid Defender)
от 15.1.5.1 до 15.1.8.2 (BIG-IP DDos Hybrid Defender)
от 16.1.2.2 до 16.1.3.4 (BIG-IP DDos Hybrid Defender)
17.0.0 (BIG-IP Domain Name System)
от 14.1.4.6 до 14.1.5.4 (BIG-IP Domain Name System)
от 15.1.5.1 до 15.1.8.2 (BIG-IP Domain Name System)
от 16.1.2.2 до 16.1.3.4 (BIG-IP Domain Name System)
от 16.1.2.2 до 16.1.3.4 (BIG-IP Fraud Protection Service)
от 15.1.5.1 до 15.1.8.2 (BIG-IP Fraud Protection Service)
от 14.1.4.6 до 14.1.5.4 (BIG-IP Fraud Protection Service)
от 14.1.4.6 до 14.1.5.4 (BIG-IP Link Controller)
от 15.1.5.1 до 15.1.8.2 (BIG-IP Link Controller)
от 16.1.2.2 до 16.1.3.4 (BIG-IP Link Controller)
от 14.1.4.6 до 14.1.5.4 (BIG-IP Local Traffic Manager)
от 15.1.5.1 до 15.1.8.2 (BIG-IP Local Traffic Manager)
от 16.1.2.2 до 16.1.3.4 (BIG-IP Local Traffic Manager)
от 14.1.4.6 до 14.1.5.4 (BIG-IP Policy Enforcement Manager)
от 15.1.5.1 до 15.1.8.2 (BIG-IP Policy Enforcement Manager)
от 16.1.2.2 до 16.1.3.4 (BIG-IP Policy Enforcement Manager)
17.0.0 (BIG-IP SSL Orchestrator)
от 14.1.4.6 до 14.1.5.4 (BIG-IP SSL Orchestrator)
от 15.1.5.1 до 15.1.8.2 (BIG-IP SSL Orchestrator)
от 16.1.2.2 до 16.1.3.4 (BIG-IP SSL Orchestrator)
Тип ПО
ПО сетевого программно-аппаратного средства
Сетевое средство
Средство защиты
Программное средство защиты
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,5)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение доступа к программному интерфейсу iControl SOAP;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- отключение/удаление неиспользуемых учетных записей пользователей.
Использование рекомендаций производителя:
https://my.f5.com/manage/s/article/K000130415
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 90%
0.0508
Низкий
8.5 High
CVSS3
7.1 High
CVSS2
Связанные уязвимости
CVSS3: 8.5
nvd
около 3 лет назад
A format string vulnerability exists in iControl SOAP that allows an authenticated attacker to crash the iControl SOAP CGI process or, potentially execute arbitrary code. In appliance mode BIG-IP, a successful exploit of this vulnerability can allow the attacker to cross a security boundary. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
CVSS3: 9.9
github
около 3 лет назад
In BIG-IP starting in versions 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6, and 13.1.5 on their respective branches, a format string vulnerability exists in iControl SOAP that allows an authenticated attacker to crash the iControl SOAP CGI process or, potentially execute arbitrary code. In appliance mode BIG-IP, a successful exploit of this vulnerability can allow the attacker to cross a security boundary. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
EPSS
Процентиль: 90%
0.0508
Низкий
8.5 High
CVSS3
7.1 High
CVSS2