F5 a mis en garde contre une faille de haute gravité affectant les appliances BIG-IP qui pourrait conduire à un déni de service (DoS) ou à l’exécution de code arbitraire.
Le problème est enraciné dans le protocole iControl Simple Object Access (SAVON) interface et affecte les versions suivantes de BIG-IP –
- 13.1.5
- 14.1.4.6 – 14.1.5
- 15.1.5.1 – 15.1.8
- 16.1.2.2 – 16.1.3, et
- 17.0.0
« Une vulnérabilité de chaîne de format existe dans iControl SOAP qui permet à un attaquant authentifié de planter le processus iControl SOAP CGI ou, potentiellement, d’exécuter du code arbitraire », a déclaré la société. a dit dans un avis. « En mode appareil BIG-IP, un exploit réussi de cette vulnérabilité peut permettre à l’attaquant de franchir une frontière de sécurité. »
Suivi sous le numéro CVE-2023-22374 (score CVSS : 7,5/8,5), le chercheur en sécurité Ron Bowes de Rapid7 a été crédité d’avoir découvert et signalé la faille le 6 décembre 2022.
Étant donné que l’interface SOAP iCOntrol s’exécute en tant que root, un exploit réussi pourrait permettre à un acteur malveillant de déclencher à distance l’exécution de code sur l’appareil en tant qu’utilisateur root. Ceci peut être réalisé en insérant arbitrairement formater les caractères de la chaîne dans un paramètre de requête transmis à une fonction de journalisation appelée syslog, Bowes a dit.
F5 a noté qu’il a résolu le problème dans un correctif d’ingénierie disponible pour les versions prises en charge de BIG-IP. Pour contourner le problème, la société recommande aux utilisateurs de restreindre l’accès à l’API SOAP d’iControl aux seuls utilisateurs de confiance.
Cisco corrige un bogue d’injection de commande dans Cisco IOx
La divulgation intervient alors que Cisco a publié des mises à jour pour corriger une faille dans l’environnement d’hébergement d’applications Cisco IOx (CVE-2023-20076, score CVSS : 7,2) qui pourrait ouvrir la porte à un attaquant distant authentifié pour exécuter des commandes arbitraires en tant que root sur l’hôte sous-jacent. système opérateur.
Le vulnérabilité affecte les appareils exécutant le logiciel Cisco IOS XE et sur lesquels la fonctionnalité Cisco IOx est activée, ainsi que les ISR industriels de la série 800, les points d’accès Catalyst, les modules de calcul CGR1000, les passerelles de calcul industriel IC3000, les routeurs industriels IR510 WPAN.
La société de cybersécurité Trellix, qui a identifié le problème, a déclaré qu’elle pourrait être armée pour injecter des packages malveillants de manière à persister dans les redémarrages du système et les mises à niveau du micrologiciel, ce qui ne peut être supprimé qu’après une réinitialisation d’usine.
« Un acteur malveillant pourrait utiliser CVE-2023-20076 pour altérer de manière malveillante l’un des appareils Cisco concernés n’importe où le long de cette chaîne d’approvisionnement », a-t-il déclaré. a dit, avertissant des menaces potentielles de la chaîne d’approvisionnement. « Le niveau d’accès fourni par CVE-2023-20076 pourrait permettre l’installation et le masquage de portes dérobées, rendant la falsification entièrement transparente pour l’utilisateur final. »
Bien que l’exploit nécessite que l’attaquant soit authentifié et dispose de privilèges d’administrateur, il convient de noter que les adversaires peuvent trouver diverses façons d’augmenter les privilèges, comme le phishing ou en misant sur la possibilité que les utilisateurs n’aient pas réussi à modifier les informations d’identification par défaut.
Trellix a également découvert un contournement du contrôle de sécurité lors de Extraction d’archives TARce qui pourrait permettre à un attaquant d’écrire sur le système d’exploitation hôte sous-jacent en tant qu’utilisateur root.
Le major de l’équipement réseau, qui a depuis corrigé le défaut, a déclaré que la vulnérabilité ne présentait aucun risque immédiat car « le code y a été placé pour la prise en charge future de l’empaquetage d’applications ».
