F5 BIG-IP の脆弱性 CVE-2023-22374：DoS／コード実行につながる可能性

F5 BIG-IP Vulnerability Can Lead to DoS, Code Execution

2023/02/02 SecurityWeek — F5 が発している警告によると、BIG-IP に存在する深刻なフォーマット文字列の脆弱性により、認証された攻撃者がサービス拒否 (DoS) 状態を引き起こし、任意のコードを実行する可能性があるようだ。この脆弱性 CVE-2023-22374 は、システム間の通信を可能にするために root として実行される、iControl SOAP というオープン API に影響を与える。

この SOAP インターフェイスは、BIG-IP 管理ポート／自己の IP アドレスを介してネットワークからアクセスが可能だが、その使用は管理アカウントに制限されている。

この脆弱性を発見した Rapid7 は、syslog 関数に渡される特定のパラメータ内に、フォーマット文字列指定子を挿入することで、サービスがスタックから参照するメモリ・アドレスの読み書きが可能になると説明している。

しかし同社は、「攻撃者が syslog にアクセスできない限り、メモリを読み取ることは不可能だ。したがって、読み書きを行う特定アドレスに影響を与えることは難しいため、サービスをクラッシュさせる以外に、この脆弱性を悪用することは、実際には非常に困難だ」と述べている。

さらに Rapid7 は、攻撃のタイプとして、”%s” 指定子を用いたサービス・クラッシュや、”%n” 指定子を用いたスタック・ポインタへの任意のデータの書き込みがあるため、リモート・コード実行につながる可能性があると述べている。

F5 のアドバイザリによると、この脆弱性を悪用してコード実行を試みる攻撃者は、その前提として、脆弱なコンポーネントを実行している環境について、情報を取得する必要があるという。しかし、この脆弱性により公開されるのはコントロール・プレーンのみであり、データ・プレーンは公開されないという。

Rapid7 は、「攻撃が成功した攻撃者は、サーバ・プロセスをクラッシュさせる可能性が高いと考えられる。さらに熟練した攻撃者は、F5 BIG-IP デバイス上で root ユーザーとしてコードを実行する、リモート・コード実行エクスプロイトを開発する可能性がある」と指摘している。

この脆弱性は、BIG-IP 13.1.5, 14／1.4.6～14.1.5／15.1.5.1～15.1.8／16.1.2.2～16.1.3／17.0.0 に影響する。現時点において、この脆弱性に対するパッチはないが、F5 では、エンジニアリング・ホットフィックスを用意していると述べている。

この脆弱性は認証されたユーザーのみが悪用できるため、iControl SOAP API へのアクセスは、信頼できるユーザーのみに制限されるべきだ。

脆弱性 CVE-2023-22374 の CVSS スコアは、標準展開モードの BIG-IP システムでは 7.5 であり、アプリケーション・モードの BIG-I Pインスタンスでは 8.5 だとされている。なお、BIG-IP SPK／BIG-IQ／F5OS-A／F5OS-C／NGINX／Traffix SDC などは影響を受けない。

iControl SOAP というオープン API を調べたところ、F5 の K98821303 に「BIG-IP 11.6.0 での iControl REST の導入により、F5 は iControl SOAP インターフェイスの非推奨を宣言した。すべての新機能とアップデートには、iControl REST インターフェイスを対象とする」と記されていました。2021年4月の発表ですが、EoL ではないという状況です。よろしければ、以下の関連ポストを、ご参照ください。

2022/11/16：F5 製品群の CVE-2022-41622 などがFIX
2022/05/11：CISA 警告 5/10：CVE-2022-1388 を KEV リストに
2022/05/10：F5 BIG-IP の脆弱性 CVE-2022-1388 が FIX
2022/05/09：F5 BIG-IP の脆弱性 CVE-2022-1388 が FIX