F5 已针对其 BIG-IP 套件中的远程代码执行 (RCE) 错误发布了修复程序，该错误的严重程度接近最高。

Praetorian 的研究人员首先发现了 BIG-IP 配置实用程序中的身份验证绕过缺陷，并于本周发布了他们的发现，这是自 2020 年以来影响 BIG-IP 的第三个主要 RCE 漏洞。

该漏洞的编号为 CVE-2023-46747，CVSS 等级的初始严重性评分为 9.8 分（满分 10 分），如果被利用，可能会导致整个系统受损。

F5 的通报表明，除 BIG-IP（所有模块）之外，没有其他产品受到该漏洞的影响。以下版本存在漏洞，应升级到最新版本：

• 17.1.0

• 16.1.0-16.1.4

• 15.1.0-15.1.10

• 14.1.0-14.1.5

• 13.1.0-13.1.5

所有受影响的版本现在都有修补程序，应尽快升级。对于那些无法立即升级的用户，F5发布了一些临时缓解措施。

漏洞披露

Praetorian 的研究人员之一、F5 发现的合著者 Michael Weber 向 Mastodon 透露了更多有关与供应商的披露过程如何展开的信息。

Weber 透露，F5 在 10 月初获悉这些问题后，原本并不打算解决这些问题，但在意识到参与披露的人员之外可能还存在对该缺陷的了解后，很快就改变了态度。

“我们在本月初向 F5 报告，并就披露时间表与他们进行了一些反复讨论，”韦伯写道。“我们并不着急，我们预计需要一两个月的时间才能披露，但他们希望在 2024 年 2 月发布。

“等待预授权 RCE 错误的时间很长，因此我们要求更快，但要提前 48 小时通知，以便我们能够与客户进行适当协调。[F5] 表示他们对此表示同意。

“然后昨晚 8 点（美国东部时间），我们收到一封电子邮件，称他们将在 16 小时内放弃该建议和修补程序。我们询问原因，并被告知‘我们相信这个漏洞现在已在 F5 和 Praetorian 以外的地方被知晓，因此迫使我们采取行动立即披露”。

在后续帖子中，Weber 透露，F5 最近让他意识到，一位匿名独立研究人员与供应商联系，强调了过去两周内存在的相同错误。

然而，他表示，他怀疑 Praetorian 研究中详细介绍的 RCE 漏洞“只是与F5 周四发布的更大规模的建议捆绑在一起” ，其中包括影响 BIG-IP 的另外两个漏洞的问题。

其中一个缓存中毒问题据称是由一位独立安全研究人员发现的，他对 F5 缺乏漏洞赏金机会感到不满，因此决定自行披露。目前尚无可用的修复程序。

另一个是 SQL 注入漏洞，影响与 CVE-2023-46747 完全相同的版本和相同的配置实用程序组件。严重性得分稍低，为 8.8，利用该漏洞可以允许经过身份验证且具有网络访问权限的攻击者实现 RCE。

错误本身

Praetorian 研究人员表示，他们将保留有关该漏洞的全部详细信息，以允许组织应用修补程序。

然而，他们确实透露该问题被定义为 Apache JServ 协议 (AJP) 走私漏洞。

使用 AWS Marketplace 模板部署默认的 F5 安装后，研究人员开始扫描其攻击面，首先发现它在 CentOS 7.5-1804 上运行。

虽然它不是一个已经停产的操作系统，但从软件标准来看，它于 2018 年推出，显得有点过时，这一观察促使研究人员调查其他核心组件的问题。

然后他们将 Apache 版本确定为 2.4.6，尽管该版本是在 F5 设备上定制的，但仍需要维护一长串安全补丁。

在调查完 Qlik Sense Enterprise 中的请求走私问题后，研究人员也从这个角度对 F5 进行了调查，发现了 F5 承认影响其自定义 Apache 版本的一个此类漏洞 (CVE-2022-26377)。

研究人员在披露中表示，他们能够确认 F5 设备在 Tomcat 上使用了 AJP 连接器，这是利用 CVE-2022-26377 的先决条件，后来又证实 AJP 走私在 BIG-IP 上有效。

从那里，他们可以使用 root 权限实现 RCE，但他们如何到达该阶段的完整细节将在他们认为已经过去足够的时间以允许应用修补程序后公布。

他们表示：“未来几天，我们将发布有关利用此漏洞的更多信息，但鉴于 F5 BIG-IP 设备尚未发布官方补丁，我们认为放弃所有技术细节与负责任的披露不符。”说。

“一旦 F5 发布了官方补丁并且组织有时间应用它，我们将发布有关如何利用 AJP 走私来破坏设备并以根用户身份执行命令的剩余信息。”

“我知道这不是#citrixbleed，但如果您是互联网上仍然拥有 F5 配置面板的数千个组织之一，那么这就是一个非常严重的错误，”Weber 在他的 Mastodon 帖子中说道。