F5 a mis en garde contre une faille de haute gravité affectant les appliances BIG-IP qui pourrait conduire à un déni de service (DoS) ou à l’exécution de code arbitraire.
Le problème est enraciné dans l’interface SOAP (Simple Object Access Protocol) d’iControl et affecte les versions suivantes de BIG-IP –
- 13.1.5
- 14.1.4.6 – 14.1.5
- 15.1.5.1 – 15.1.8
- 16.1.2.2 – 16.1.3, et
- 17.0.0
« Une vulnérabilité de chaîne de format existe dans iControl SOAP qui permet à un attaquant authentifié de planter le processus iControl SOAP CGI ou, potentiellement, d’exécuter du code arbitraire », a déclaré la société dans un avis. « En mode appareil BIG-IP, un exploit réussi de cette vulnérabilité peut permettre à l’attaquant de franchir une frontière de sécurité. »
Suivi sous le numéro CVE-2023-22374 (score CVSS : 7,5/8,5), le chercheur en sécurité Ron Bowes de Rapid7 a été crédité d’avoir découvert et signalé la faille le 6 décembre 2022.
Étant donné que l’interface SOAP iCOntrol s’exécute en tant que root, un exploit réussi pourrait permettre à un acteur malveillant de déclencher à distance l’exécution de code sur l’appareil en tant qu’utilisateur root. Cela peut être réalisé en insérant des caractères de chaîne de format arbitraire dans un paramètre de requête qui est transmis à une fonction de journalisation appelée syslog, a déclaré Bowes.
F5 a noté qu’il a résolu le problème dans un correctif d’ingénierie disponible pour les versions prises en charge de BIG-IP. Pour contourner le problème, la société recommande aux utilisateurs de restreindre l’accès à l’API SOAP d’iControl aux seuls utilisateurs de confiance.
Cisco corrige un bogue d’injection de commande dans Cisco IOx
La divulgation intervient alors que Cisco a publié des mises à jour pour corriger une faille dans l’environnement d’hébergement d’applications Cisco IOx (CVE-2023-20076, score CVSS : 7,2) qui pourrait ouvrir la porte à un attaquant distant authentifié pour exécuter des commandes arbitraires en tant que root sur l’hôte sous-jacent. système opérateur.
La vulnérabilité affecte les appareils exécutant le logiciel Cisco IOS XE et sur lesquels la fonctionnalité Cisco IOx est activée, ainsi que les ISR industriels de la série 800, les points d’accès Catalyst, les modules de calcul CGR1000, les passerelles de calcul industriel IC3000 et les routeurs industriels IR510 WPAN.
La société de cybersécurité Trellix, qui a identifié le problème, a déclaré qu’elle pourrait être armée pour injecter des packages malveillants de manière à persister dans les redémarrages du système et les mises à niveau du micrologiciel, ce qui ne peut être supprimé qu’après une réinitialisation d’usine.
« Un acteur malveillant pourrait utiliser CVE-2023-20076 pour altérer de manière malveillante l’un des appareils Cisco concernés n’importe où le long de cette chaîne d’approvisionnement », a-t-il déclaré, avertissant des menaces potentielles pour la chaîne d’approvisionnement au sens large. « Le niveau d’accès fourni par CVE-2023-20076 pourrait permettre l’installation et le masquage de portes dérobées, rendant la falsification entièrement transparente pour l’utilisateur final. »
Bien que l’exploit nécessite que l’attaquant soit authentifié et dispose de privilèges d’administrateur, il convient de noter que les adversaires peuvent trouver diverses façons d’augmenter les privilèges, comme le phishing ou en misant sur la possibilité que les utilisateurs n’aient pas réussi à modifier les informations d’identification par défaut.
Trellix a également découvert un contournement du contrôle de sécurité lors de l’extraction de l’archive TAR, qui pourrait permettre à un attaquant d’écrire sur le système d’exploitation hôte sous-jacent en tant qu’utilisateur root.
Le major de l’équipement réseau, qui a depuis corrigé le défaut, a déclaré que la vulnérabilité ne présentait aucun risque immédiat car « le code y a été placé pour la prise en charge future de l’empaquetage d’applications ».