A F5 alertou sobre uma falha de alta gravidade que afeta os dispositivos BIG-IP e que pode levar à negação de serviço (DoS) ou à execução arbitrária de códigos.

O problema está enraizado na interface iControl Simple Object Access Protocol ( SOAP ) e afeta várias versões do BIG-IP. “Existe uma vulnerabilidade de string de formato no iControl SOAP que permite que um invasor autenticado trave o processo iControl SOAP CGI ou, potencialmente, execute código arbitrário”, disse a empresa em um comunicado.

“No modo de dispositivo BIG-IP, uma exploração bem-sucedida dessa vulnerabilidade pode permitir que o invasor ultrapasse um limite de segurança”. Rastreado como CVE-2023-22374 (pontuação CVSS: 7,5/8,5), o pesquisador de segurança Ron Bowes, da Rapid7, foi creditado por descobrir e relatar a falha em 6 de dezembro de 2022.

A F5 observou que resolveu o problema em um hotfix de engenharia disponível para versões com suporte do BIG-IP. Como solução alternativa, a empresa está recomendando que os usuários restrinjam o acesso à API iControl SOAP apenas a usuários confiáveis.

A divulgação ocorre quando a Cisco lançou atualizações para corrigir uma falha no ambiente de hospedagem de aplicativos Cisco IOx (CVE-2023-20076, pontuação CVSS: 7,2) que poderia abrir a porta para um invasor remoto autenticado executar comandos arbitrários como root no host subjacente sistema operacional.

A vulnerabilidade afeta os dispositivos que executam o software Cisco IOS XE e têm o recurso Cisco IOx ativado, bem como 800 Series Industrial ISRs, Catalyst Access Points, CGR1000 Compute Modules, IC3000 Industrial Compute Gateways, IR510 WPAN Industrial Routers.