“iControl SOAP 中存在格式字符串漏洞,允许经过身份验证的攻击者使 iControl SOAP CGI 进程崩溃,或者可能执行任意代码,”该公司在一份公告中表示。“在设备模式 BIG-IP 中,成功利用此漏洞可以让攻击者跨越安全边界。”
Rapid7 的安全研究员 Ron Bowes 被追踪为 CVE-2023-22374(CVSS 评分:7.5/8.5),并于 2022 年 12 月 6 日发现并报告了该漏洞。
鉴于 iCONtrol SOAP 接口以 root 身份运行,成功的利用可能允许威胁参与者以 root 用户身份远程触发设备上的代码执行。Bowes说,这可以通过将任意格式的字符串字符插入传递给称为 syslog 的日志记录功能的查询参数来实现。
F5 指出,它已在可用于支持的 BIG-IP 版本的工程修补程序中解决了该问题。作为解决方法,该公司建议用户将对 iControl SOAP API 的访问限制为仅受信任的用户。
思科修补了 Cisco IOx 中的命令注入漏洞
这一披露是在思科发布更新以修复 Cisco IOx 应用程序托管环境中的一个缺陷(CVE-2023-20076,CVSS 评分:7.2)时发布的,该漏洞可能为经过身份验证的远程攻击者打开大门,以根用户身份在底层主机上执行任意命令操作系统。
该漏洞影响运行 Cisco IOS XE 软件并启用 Cisco IOx 功能的设备,以及 800 系列工业 ISR、Catalyst 接入点、CGR1000 计算模块、IC3000 工业计算网关、IR510 WPAN 工业路由器。
发现了这个问题的网络安全公司 Trellix 表示,它可以被武器化,以一种可以持续系统重启和固件升级的方式注入恶意包,而留下的只能在恢复出厂设置后删除。
“不良行为者可能会使用 CVE-2023-20076 恶意篡改该供应链中任何一处受影响的思科设备,”它警告潜在的供应链威胁。“CVE-2023-20076 提供的访问级别可以允许安装和隐藏后门,从而使篡改对最终用户完全透明。”
虽然该漏洞利用要求攻击者经过身份验证并拥有管理员权限,但值得注意的是,对手可以找到各种提升权限的方法,例如网络钓鱼或利用用户可能未能更改默认凭据的可能性。
Trellix 还发现了TAR 存档提取期间的安全检查绕过,这可能允许攻击者以 root 用户身份在底层主机操作系统上进行写入。这家网络设备专业公司已经修复了该缺陷,并表示该漏洞不会造成直接风险,因为“代码被放在那里是为了未来的应用程序打包支持”。
