严重
F5 BIG-IP Configuration utility 访问控制错误漏洞
披露时间:
2023-10-27
更新时间:
2024-11-27
CT 编号
CT-939293
CVE 编号
CVE-2023-46747
CNVD 编号
CNVD-2023-82300
CNNVD 编号
CNNVD-202310-2269
原理分类
未授权访问
漏洞评分
8.1
漏洞描述
F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。 F5 BIG-IP Configuration utility存在安全漏洞,该漏洞源于存在远程代码执行(RCE)漏洞。攻击者可利用该漏洞通过management port或self IP addresses执行任意系统命令。
漏洞危害
1、如果被攻击者利用,可直接getshell;
2、如果被攻击者利用,可被用于内网信息收集,扫描目标内网主机;
3、如果被攻击者利用,可攻击运行在内网或本地的应用程序;
4、如果被攻击者利用,可被用作攻击跳板;
修复方法
1、利用安全组功能设置其仅对可信地址开放。
2、升级至安全版本及其以上,安全版本:
17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG3
16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG3
15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG3
14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG3
13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG3
评分维度
长亭安全产品覆盖情况
雷池(SafeLine)下一代Web应用防火墙
洞鉴(X-Ray)安全评估系统
云图(Cloud Atlas)攻击面管理运营平台
牧云(CloudWalker) 主机安全管理平台
全悉(T-ANSWER)高级威胁分析预警系统
谛听(D-Sensor) 伪装欺骗系统
漏洞时间线
EXP 披露
2023-10-27
漏洞披露
2023-10-27
漏洞信息更新
2024-11-27
