Home > Security Bulletins > F5 BIG-IP Configuration Utility Unauthenticated RCE

F5 BIG-IP Configuration Utility Unauthenticated RCE

27 Oktober 2023

Samenvatting

F5 heeft aangekondigd een kwetsbaarheid met Critical ernst in de F5 BIG-IP Configuration Utility. CVE-2023-46747 (CVSS 3.1: 9.8) is een unauthenticated remote code execution vulnerability die een unauthenticated aanvaller met netwerktoegang tot het BIG-IP systeem kan toestaan via de beheerpoort en/of eigen IP-adressen om willekeurige systeemopdrachten uit te voeren. Er is geen blootstelling aan het datavlak; dit is alleen een probleem met het besturingsvlak.

F5 heeft patches uitgebracht zoals hieronder vermeld voor de betrokken producten en geeft ook details over een oplossing in het bulletin.

Betrokken Producten

  • 17.1.0 (opgelost in 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)
  • 16.1.0 – 16.1.4 (opgelost in 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)
  • 15.1.0 – 15.1.10 (opgelost in 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)
  • 14.1.0 – 14.1.5 (opgelost in 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)
  • 13.1.0 – 13.1.5 (opgelost in 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-NL)

U kunt ook iHealth gebruiken om een kwetsbaarheid voor BIG-IP- en BIG-IQ-systemen te diagnosticeren.

Aanbevelingen

Vanwege de kritieke ernst van dit beveiligingslek en het grote belang van BIG-IP, wordt organisaties aangeraden dit beveiligingslek zo snel mogelijk te patchen.