美国网络安全和基础设施安全局 (CISA) 将BIG-IP 中的 漏洞CVE-2023-46747 和CVE-2023-46748添加到其已知被利用的漏洞目录中。

根据主动利用的证据， CISA 在其已知被利用的漏洞目录中添加了两个新漏洞 。这两个问题是：

• CVE-2023-46747  F5 BIG-IP 身份验证绕过漏洞 – F5 BIG-IP 配置实用程序包含使用备用路径或通道漏洞进行身份验证绕过，这是由于未公开的请求造成的，可能允许未经身份验证的攻击者通过网络访问 BIG-IP 系统用于执行系统命令的管理端口和/或自身 IP 地址。该漏洞可与CVE-2023-46748结合使用。
• CVE-2023-46748  F5 BIG-IP SQL 注入漏洞 – F5 BIG-IP 配置实用程序包含一个 SQL 注入漏洞，该漏洞可能允许通过 BIG-IP 管理端口和/或自 IP 地址进行网络访问的经过身份验证的攻击者执行系统命令。该漏洞可与CVE-2023-46747结合使用。

专家警告称，在 PoC 漏洞披露后不到五天，威胁行为者就开始利用 F5 BIG-IP 安装中的关键缺陷 CVE-2023-46747。

10 月 30 日，F5 更新了最初的 咨询 警告，称威胁行为者正在积极利用该漏洞。攻击者将该漏洞与 BIG-IP 配置实用程序中的另一个缺陷联系在一起，该缺陷被追踪为 CVE-2023-46748  （CVSS 评分为 8.8）。

F5 还发布了妥协指标 (IoC)，以帮助防御者识别潜在的妥协。

“F5 观察到威胁行为者利用此漏洞来利用 CVE-2023-46748。” 该咨询指出。 “有关 CVE-2023-46748 的危害指标，请参阅 K000137365：BIG-IP 配置实用程序验证的 SQL 注入漏洞 CVE-2023-46748。”

在 Project Discovery 团队 在 Github 上发布概念验证后， Praetorian Security 更新了其博客，提供了更多技术信息。

根据 约束性操作指令 (BOD) 22-01：降低已知被利用漏洞的重大风险，FCEB 机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中的缺陷的攻击。

专家还建议私人组织审查 目录 并解决其基础设施中的漏洞。

CISA 命令联邦机构在 2023 年 11 月 21 日之前修复此缺陷。