Критическая уязвимость в конфигурационной утилите F5 BIG-IP, отслеживаемая как CVE-2023-46747, позволяет злоумышленнику с удаленным доступом к конфигурационной утилите выполнить удаленное выполнение кода без аутентификации.
Уязвимость получила оценку CVSS v3.1 9.8, что делает ее "критической", поскольку она может быть использована без аутентификации в атаках низкой сложности.
"Данная уязвимость может позволить неаутентифицированному злоумышленнику, имеющему сетевой доступ к системе BIG-IP через порт управления и/или собственные IP-адреса, выполнить произвольные системные команды, - говорится в бюллетене безопасности F5.
Угрозы могут использовать только те устройства, у которых пользовательский интерфейс управления трафиком (TMUI) открыт для доступа в Интернет и не затрагивает плоскость данных.
Однако, поскольку TMUI обычно открыт для внутреннего доступа, злоумышленник, уже взломавший сеть, может воспользоваться этим недостатком.
Затронутыми являются следующие версии BIG-IP:
- 17.x: 17.1.0
- 16.x: 16.1.0 - 16.1.4
- 15.x: 15.1.0 - 15.1.10
- 14.x: 14.1.0 - 14.1.5
- 13.x: 13.1.0 - 13.1.5
CVE-2023-46747 не затрагивает продукты BIG-IP Next, BIG-IQ Centralized Management, F5 Distributed Cloud Services, F5OS, NGINX и Traffix SDC.
Неподдерживаемые версии продуктов, достигшие EoL (end of life), не были оценены на предмет наличия CVE-2023-46747, поэтому они могут быть как уязвимыми, так и нет.
В связи с рисками, связанными с использованием этих версий, рекомендуется как можно скорее перейти на поддерживаемую версию.
Обнаружение и устранение
Проблема была обнаружена исследователями Praetorian Security Томасом Хендриксоном и Майклом Вебером, которые сообщили о ней производителю 5 октября 2023 года.
Praetorian поделилась более подробными техническими деталями CVE-2023-46747 в своем блоге, при этом исследователи пообещали раскрыть все подробности эксплуатации, как только начнется обновление системы.
Компания F5 подтвердила воспроизведение уязвимости 12 октября и опубликовала обновление безопасности вместе с рекомендацией 26 октября 2023 года.
Рекомендуемые версии обновлений, устраняющие уязвимость, следующие:
- 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG
- 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG
- 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG
- 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG
- 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG
Компания F5 также предоставила в этом руководстве сценарий, который поможет администраторам, не имеющим возможности применить доступное обновление безопасности, устранить проблему.
Следует отметить, что сценарий подходит только для BIG-IP версии 14.1.0 и более поздних. Также следует соблюдать осторожность тем, кто имеет лицензию FIPS 140-2 Compliant Mode, поскольку сценарий может привести к сбоям в проверке целостности FIPS.
Чтобы применить меры защиты с помощью сценария, предоставленного компанией F5, выполните следующие действия:
- Загрузите и сохраните сценарий на затронутой системе BIG-IP.
- Переименуйте файл .txt в расширение .sh, например, 'mitigation.sh'.
- Войдите в командную строку пораженной системы BIG-IP в качестве пользователя root.
- С помощью утилиты chmod сделайте скрипт исполняемым ('chmod +x /root/mitigation.sh && touch /root/mitigation.sh').
- Выполните сценарий с помощью команды '/root/mitigation.sh'.
VIPRION, гости vCMP на VIPRION и арендаторы BIG-IP на VELOS должны запускать скрипт индивидуально на каждом блейде.
Если на каждом блейде не назначен IP-адрес управления, то для его запуска можно подключиться к последовательной консоли.
Поскольку устройства F5 BIG-IP используются государственными органами, компаниями из списка Fortune 500, банками, поставщиками услуг и крупными потребительскими брендами, настоятельно рекомендуется применить все доступные исправления и средства защиты для предотвращения эксплуатации этих устройств.
Praetorian также предупреждает, что пользовательский интерфейс управления трафиком вообще не должен выходить в Интернет.
К сожалению, как было показано ранее, интерфейс F5 BIG-IP TMUI уже подвергался атакам, что позволяло злоумышленникам использовать уязвимости для стирания устройств и получения первоначального доступа к сетям.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
