Добавить в корзинуПозвонить
Найти в Дзене
Герман Геншин
20,4 тыс подписчиков

F5 исправляет обход аутентификации в BIG-IP, позволяющий проводить атаки с удаленным выполнением кода

6
3 мин
Критическая уязвимость в конфигурационной утилите F5 BIG-IP, отслеживаемая как CVE-2023-46747, позволяет злоумышленнику с удаленным доступом к конфигурационной утилите выполнить удаленное выполнение кода без аутентификации. Уязвимость получила оценку CVSS v3.1 9.8, что делает ее "критической", поскольку она может быть использована без аутентификации в атаках низкой сложности. "Данная уязвимость может позволить неаутентифицированному злоумышленнику, имеющему сетевой доступ к системе BIG-IP через порт управления и/или собственные IP-адреса, выполнить произвольные системные команды, - говорится в бюллетене безопасности F5. Угрозы могут использовать только те устройства, у которых пользовательский интерфейс управления трафиком (TMUI) открыт для доступа в Интернет и не затрагивает плоскость данных. Однако, поскольку TMUI обычно открыт для внутреннего доступа, злоумышленник, уже взломавший сеть, может воспользоваться этим недостатком. Затронутыми являются следующие версии BIG-IP: CVE-2023-46

Критическая уязвимость в конфигурационной утилите F5 BIG-IP, отслеживаемая как CVE-2023-46747, позволяет злоумышленнику с удаленным доступом к конфигурационной утилите выполнить удаленное выполнение кода без аутентификации.

Уязвимость получила оценку CVSS v3.1 9.8, что делает ее "критической", поскольку она может быть использована без аутентификации в атаках низкой сложности.

"Данная уязвимость может позволить неаутентифицированному злоумышленнику, имеющему сетевой доступ к системе BIG-IP через порт управления и/или собственные IP-адреса, выполнить произвольные системные команды, - говорится в бюллетене безопасности F5.

Угрозы могут использовать только те устройства, у которых пользовательский интерфейс управления трафиком (TMUI) открыт для доступа в Интернет и не затрагивает плоскость данных.

Однако, поскольку TMUI обычно открыт для внутреннего доступа, злоумышленник, уже взломавший сеть, может воспользоваться этим недостатком.

Затронутыми являются следующие версии BIG-IP:

  • 17.x: 17.1.0
  • 16.x: 16.1.0 - 16.1.4
  • 15.x: 15.1.0 - 15.1.10
  • 14.x: 14.1.0 - 14.1.5
  • 13.x: 13.1.0 - 13.1.5

CVE-2023-46747 не затрагивает продукты BIG-IP Next, BIG-IQ Centralized Management, F5 Distributed Cloud Services, F5OS, NGINX и Traffix SDC.

Неподдерживаемые версии продуктов, достигшие EoL (end of life), не были оценены на предмет наличия CVE-2023-46747, поэтому они могут быть как уязвимыми, так и нет.

В связи с рисками, связанными с использованием этих версий, рекомендуется как можно скорее перейти на поддерживаемую версию.

Обнаружение и устранение

Проблема была обнаружена исследователями Praetorian Security Томасом Хендриксоном и Майклом Вебером, которые сообщили о ней производителю 5 октября 2023 года.

Praetorian поделилась более подробными техническими деталями CVE-2023-46747 в своем блоге, при этом исследователи пообещали раскрыть все подробности эксплуатации, как только начнется обновление системы.

Компания F5 подтвердила воспроизведение уязвимости 12 октября и опубликовала обновление безопасности вместе с рекомендацией 26 октября 2023 года.

Рекомендуемые версии обновлений, устраняющие уязвимость, следующие:

  • 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG
  • 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG
  • 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG
  • 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG
  • 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG

Компания F5 также предоставила в этом руководстве сценарий, который поможет администраторам, не имеющим возможности применить доступное обновление безопасности, устранить проблему.

Следует отметить, что сценарий подходит только для BIG-IP версии 14.1.0 и более поздних. Также следует соблюдать осторожность тем, кто имеет лицензию FIPS 140-2 Compliant Mode, поскольку сценарий может привести к сбоям в проверке целостности FIPS.

Чтобы применить меры защиты с помощью сценария, предоставленного компанией F5, выполните следующие действия:

  1. Загрузите и сохраните сценарий на затронутой системе BIG-IP.
  2. Переименуйте файл .txt в расширение .sh, например, 'mitigation.sh'.
  3. Войдите в командную строку пораженной системы BIG-IP в качестве пользователя root.
  4. С помощью утилиты chmod сделайте скрипт исполняемым ('chmod +x /root/mitigation.sh && touch /root/mitigation.sh').
  5. Выполните сценарий с помощью команды '/root/mitigation.sh'.

VIPRION, гости vCMP на VIPRION и арендаторы BIG-IP на VELOS должны запускать скрипт индивидуально на каждом блейде.

Если на каждом блейде не назначен IP-адрес управления, то для его запуска можно подключиться к последовательной консоли.

Поскольку устройства F5 BIG-IP используются государственными органами, компаниями из списка Fortune 500, банками, поставщиками услуг и крупными потребительскими брендами, настоятельно рекомендуется применить все доступные исправления и средства защиты для предотвращения эксплуатации этих устройств.

Praetorian также предупреждает, что пользовательский интерфейс управления трафиком вообще не должен выходить в Интернет.

К сожалению, как было показано ранее, интерфейс F5 BIG-IP TMUI уже подвергался атакам, что позволяло злоумышленникам использовать уязвимости для стирания устройств и получения первоначального доступа к сетям.

По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!

Гаджеты и электроника
5,73 млн интересуются