СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Уязвимости
ФСТЭК России
10.10.2023

Уязвимость BDU:2023-06663

Уязвимость BDU:2023-06663

Идентификатор: BDU:2023-06663.

Наименование уязвимости: Уязвимость утилиты настройки программных продуктов BIG-IP средства контроля доступа и удаленной аутентификации BIG-IP Access Policy Manager, а также программных средств BIG-IP Advanced Firewall Manager, BIG-IP Analytics, BIG-IP Application Acceleration Manager, BIG-IP Application Security Manager, BIG-IP Hybrid Defender, BIG-IP Domain Name System, BIG-IP Fraud Protection Service, BIG-IP Link Controller, BIG-IP Local Traffic Manager, BIG-IP Policy Enforcement Manager, BIG-IP Orchestrator, позволяющая нарушителю выйти из изолированной программной среды или выполнить произвольный код.

Описание уязвимости: Уязвимость утилиты настройки программных продуктов BIG-IP средства контроля доступа и удаленной аутентификации BIG-IP Access Policy Manager, а также программных средств BIG-IP Advanced Firewall Manager, BIG-IP Analytics, BIG-IP Application Acceleration Manager, BIG-IP Application Security Manager, BIG-IP Hybrid Defender, BIG-IP Domain Name System, BIG-IP Fraud Protection Service, BIG-IP Link Controller, BIG-IP Local Traffic Manager, BIG-IP Policy Enforcement Manager, BIG-IP Orchestrator связана с возможностью обхода каталога. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выйти из изолированной программной среды или выполнить произвольный код путём отправки специально сформированных запросов
Уязвимое ПО: ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Access Policy Manager от 13.1.0 до 13.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Advanced Firewall Manager от 13.1.0 до 13.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Analytics от 13.1.0 до 13.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Application Acceleration Manager от 13.1.0 до 13.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Application Security Manager от 13.1.0 до 13.1.5 включительно | Средство защиты, Программное средство защиты F5 Networks, Inc. BIG-IP Fraud Protection Service от 13.1.0 до 13.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Link Controller от 13.1.0 до 13.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Local Traffic Manager от 13.1.0 до 13.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Policy Enforcement Manager от 13.1.0 до 13.1.5 включительно | Средство защиты, ПО программно-аппаратных средств защиты F5 Networks, Inc. BIG-IP DDos Hybrid Defender от 13.1.0 до 13.1.5 включительно | Программное средство защиты F5 Networks, Inc. BIG-IP SSL Orchestrator от 13.1.0 до 13.1.5 включительно | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Advanced Firewall Manager от 17.1.0 до 17.1.0.3 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Advanced Firewall Manager от 16.1.0 до 16.1.4.1 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Advanced Firewall Manager от 15.1.0 до 15.1.10.2 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Advanced Firewall Manager от 14.1.0 до 14.1.5.6 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Application Security Manager от 17.1.0 до 17.1.0.3 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Application Security Manager от 16.1.0 до 16.1.4.1 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Application Security Manager от 15.1.0 до 15.1.10.2 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Application Security Manager от 14.1.0 до 14.1.5.6 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Link Controller от 14.1.0 до 14.1.5.6 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Link Controller от 15.1.0 до 15.1.10.2 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Link Controller от 16.1.0 до 16.1.4.1 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Link Controller от 17.1.0 до 17.1.0.3 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Local Traffic Manager от 16.1.0 до 16.1.4.1 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Local Traffic Manager от 15.1.0 до 15.1.10.2 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Local Traffic Manager от 14.1.0 до 14.1.5.6 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Local Traffic Manager от 17.1.0 до 17.1.0.3 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Policy Enforcement Manager от 14.1.0 до 14.1.5.6 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Policy Enforcement Manager от 15.1.0 до 15.1.10.2 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Policy Enforcement Manager от 16.1.0 до 16.1.4.1 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Policy Enforcement Manager от 17.1.0 до 17.1.0.3 | Средство защиты, Программное средство защиты F5 Networks, Inc. BIG-IP Fraud Protection Service от 14.1.0 до 14.1.5.6 | Средство защиты, Программное средство защиты F5 Networks, Inc. BIG-IP Fraud Protection Service от 15.1.0 до 15.1.10.2 | Средство защиты, Программное средство защиты F5 Networks, Inc. BIG-IP Fraud Protection Service от 16.1.0 до 16.1.4.1 | Средство защиты, Программное средство защиты F5 Networks, Inc. BIG-IP Fraud Protection Service от 17.1.0 до 17.1.0.3 | Средство защиты, ПО программно-аппаратных средств защиты F5 Networks, Inc. BIG-IP DDos Hybrid Defender от 14.1.0 до 14.1.5.6 | Средство защиты, ПО программно-аппаратных средств защиты F5 Networks, Inc. BIG-IP DDos Hybrid Defender от 15.1.0 до 15.1.10.2 | Средство защиты, ПО программно-аппаратных средств защиты F5 Networks, Inc. BIG-IP DDos Hybrid Defender от 16.1.0 до 16.1.4.1 | Средство защиты, ПО программно-аппаратных средств защиты F5 Networks, Inc. BIG-IP DDos Hybrid Defender от 17.1.0 до 17.1.0.3 | Программное средство защиты F5 Networks, Inc. BIG-IP SSL Orchestrator от 14.1.0 до 14.1.5.6 | Программное средство защиты F5 Networks, Inc. BIG-IP SSL Orchestrator от 15.1.0 до 15.1.10.2 | Программное средство защиты F5 Networks, Inc. BIG-IP SSL Orchestrator от 16.1.0 до 16.1.4.1 | Программное средство защиты F5 Networks, Inc. BIG-IP SSL Orchestrator от 17.1.0 до 17.1.0.3 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Access Policy Manager от 14.1.0 до 14.1.5.6 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Access Policy Manager от 15.1.0 до 15.1.10.2 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Access Policy Manager от 16.1.0 до 16.1.4.1 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Access Policy Manager от 17.1.0 до 17.1.0.3 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Analytics от 14.1.0 до 14.1.5.6 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Analytics от 15.1.0 до 15.1.10.2 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Analytics от 16.1.0 до 16.1.4.1 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Analytics от 17.1.0 до 17.1.0.3 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Application Acceleration Manager от 14.1.0 до 14.1.5.6 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Application Acceleration Manager от 15.1.0 до 15.1.10.2 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Application Acceleration Manager от 16.1.0 до 16.1.4.1 | ПО сетевого программно-аппаратного средства F5 Networks, Inc. BIG-IP Application Acceleration Manager от 17.1.0 до 17.1.0.3 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 10.10.2023.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)

Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
— ограничение возможности доступа только доверенными IP-адресами через использование внутренних настроек программных продуктов BIG-IP;
— ограничение доступа к утилите настройки через интерфейс управления;
— минимизация пользовательских привилегий;
— отключение/удаление неиспользуемых учётных записей пользователей;
— использование средств межсетевого экранирования для ограничения возможности удалённого доступа.

Использование рекомендаций производителя:
https://my.f5.com/manage/s/article/K000135689.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-41373.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://my.f5.com/manage/s/article/K000135689

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: