Lỗ hổng có mã định danh CVE-2023-22374, ảnh hưởng đến iControl SOAP, một API mở cho phép các hệ thống chạy đặc quyền root giao tiếp với nhau.
Giao diện SOAP có thể truy cập được từ mạng, thông qua cổng quản lý BIG-IP và/hoặc địa chỉ self IP. Chỉ các tài khoản quản trị mới được phân quyền truy cập.
Theo đơn vị phát hiện lỗ hổng Rapid7, việc khai thác có thể được thực hiện bằng cách chèn các cụm định dạng chuỗi vào các tham số cụ thể đã được đưa vào hàm nhật ký hệ thống, dẫn đến việc đọc và ghi địa chỉ bộ nhớ được tham chiếu từ ngăn xếp.
Tuy nhiên, hãng cũng giải thích, kẻ tấn công không thể đọc bộ nhớ trừ khi chúng có quyền truy cập vào nhật ký hệ thống.
Rapid7 cho biết: “Rất khó để tác động đến các địa chỉ cụ thể được đọc và ghi, khiến lỗ hổng này rất khó khai thác (ngoài việc đánh sập dịch vụ) trên thực tế”.
Cũng theo Rapid7, kẻ tấn công có thể làm sập dịch vụ bằng cách sử dụng cụm định dạng '%s', hoặc có thể sử dụng cụm '%n' để ghi dữ liệu tùy ý vào bất kỳ con trỏ nào trong ngăn xếp. Điều này có khả năng dẫn đến thực thi mã từ xa.
Theo F5, kẻ tấn công muốn khai thác lỗ hổng để thực thi mã trước tiên cần thu thập thông tin về môi trường đang chạy thành phần tồn tại lỗ hổng. Tuy nhiên, chỉ có bảng điều khiển chứ nền tảng dữ liệu không bị lộ bởi lỗi này.
“Hệ quả xấu nhất nếu hacker tấn công thành công qua lỗ hổng này là làm hỏng tiến trình máy chủ. Một kẻ tấn công lành nghề có khả năng triển khai một đợt khai thác thực thi mã từ xa và chạy mã trên thiết bị F5 BIG-IP với tư cách là người dùng root”, Rapid7 lưu ý.
Lỗ hổng ảnh hưởng đến các phiên bản BIG-IP từ 13.1.5, 14.1.4.6 đến 14.1.5, từ 15.1.5.1 đến 15.1.8, từ 16.1.2.2 đến 16.1.3 và 17.0.0. Hiện tại chưa có bản vá nào cho lỗ hổng này nhưng theo F5 đã có bản sửa lỗi kỹ thuật.
Vì lỗ hổng chỉ có thể bị khai thác bởi những người dùng xác thực, quyền truy cập vào iControl SOAP API sẽ bị hạn chế trong phạm vi những người dùng đáng tin cậy.
CVE-2023-22374 có điểm CVSS là 7,5 đối với các hệ thống BIG-IP ở chế độ triển khai tiêu chuẩn, và điểm CVSS là 8,5 đối với các phiên bản BIG-IP ở chế độ ứng dụng.
BIG-IP SPK, BIG-IQ, F5OS-A, F5OS-C, NGINX và Traffix SDC không bị ảnh hưởng.