发布编号：TACERT-ANA-2023110303113838

发布时间：2023-11-03 15:19:40

事故类型：ANA-漏洞预警

发现时间：2023-11-03 15:19:40

影响等级：中

 

[主旨说明:]

【漏洞预警】F5 Networks之BIG-IP产品存在高风险安全漏洞(CVE-2023-46747)，允许攻击者绕过身分鑑别程序，进而远端执行任意程式码，请尽速确认并进行更新。

 

[内容说明:]

转发 国家资安资讯分享与分析中心 NISAC-200-202311-00000018

研究人员发现F5 Networks之BIG-IP产品存在高风险安全漏洞(CVE-2023-46747)，允许攻击者于未经身分鑑别之情况下，透过管理连接埠或Self IP位址，存取BIG-IP系统并远端执行任意程式码。

 

[影响平台:]

受影响之BIG-IP(All modules)版本： 17.1.0-17.1.1、16.1.0-16.1.4、15.1.0-15.1.10、14.1.0-14.1.5、13.1.0-13.1.5

 

[建议措施:]

1.目前F5官方已针对此漏洞释出修复版本，请各机关可联络设备维护厂商或参考官方说明(https://my.f5.com/manage/s/article/K000137353 )之「Security Advisory Status」一节进行更新：

    (1)连线至网址：https://my.f5.com/manage/s/downloads。

    (2)依所使用之模组与版本下载更新档。

    (3)使用设备之管理页面功能更新至最新版本。

2.若目前所使用之版本因已停止支援而未释出修补程式，建议升级至仍有支援且已推出修补程式之版本。

 

[参考资料:]

1. https://nvd.nist.gov/vuln/detail/CVE-2023-46747

2. 研究人员揭露新型攻击手法iLeakage，可透过推测执行漏洞、用浏览器窃取苹果装置的用户机密资讯

3.https://my.f5.com/manage/s/article/K000137368

4. https://my.f5.com/manage/s/article/K000137353

---

(此通报仅在于告知相关资讯，并非为资安事件)，如果您对此通报的内容有疑问或有关于此事件的建议，欢迎与我们连络。

教育机构资安通报应变小组

网址：https://info.cert.tanet.edu.tw/

专线电话：07-5250211

网络电话：98400000

E-Mail：service@cert.tanet.edu.tw