CVE-2023-46747 olarak izlenen F5 BIG-IP yapılandırma yardımcı programında kritik bir güvenlik açığı, yapılandırma yardımcı programına uzaktan erişimi olan bir saldırganın, kimlik doğrulanmamış uzaktan kod yürütmesini gerçekleştirmesine izin verir.
Kusur, düşük karmaşık saldırılarda kimlik doğrulaması yapılmaksızın kullanılabileceği için "kritik" olarak derecelendirilen 9.8 CVSS V3.1 puanı aldı.
F5'in güvenlik bültenini, "Bu güvenlik açığı, yönetim bağlantı noktası ve/veya kendi kendine IP adresleri aracılığıyla Rasgele Sistem komutlarını yürütmek için BIG-IP sistemine ağ erişimi olan kimlik doğrulanmamış bir saldırgana izin verebilir."
Tehdit aktörleri yalnızca internete maruz kalan trafik yönetimi kullanıcı arayüzüne (TMUI) sahip olan ve veri düzlemini etkilemeyen cihazlardan yararlanabilir.
Bununla birlikte, TMUI yaygın olarak dahili olarak maruz kaldığından, bir ağı zaten tehlikeye atmış bir tehdit aktörü kusurdan yararlanabilir.
Etkilenen BIG-IP versiyonları şunlardır:
CVE-2023-46747, Big-IP sonraki Big-IQ Merkezi Yönetim, F5 Dağıtılmış Bulut Hizmetleri, F5OS, NGINX ve Traffix SDC ürünlerini etkilemez.
EOL'ye (yaşamın sonu) ulaşan desteklenmeyen ürün sürümleri CVE-2023-46747'ye karşı değerlendirilmemiştir, bu nedenle savunmasız olabilirler veya olmayabilirler.
Bu sürümleri kullanma riskleri nedeniyle öneri, desteklenen bir sürüme mümkün olan en kısa sürede yükseltmektir.
Sorun, 5 Ekim 2023'te satıcıya bildiren Praetorian güvenlik araştırmacıları Thomas Hendrickson ve Michael Weber tarafından keşfedildi.
Praetorian, bir blog yazısı aracılığıyla CVE-2023-46747 hakkında daha fazla teknik ayrıntıyı paylaştı ve araştırmacılar sistem yaması açıldıktan sonra tüm sömürü ayrıntılarını açıklamaya söz verdi.
F5, 12 Ekim'de güvenlik açığını yeniden ürettiğini ve güvenlik güncellemesini 26 Ekim 2023'teki danışma ile birlikte yayınladığını doğruladı.
Güvenlik açığını ele alan önerilen güncelleme sürümleri şunlardır:
F5 ayrıca, sorunu azaltmak için mevcut güvenlik güncellemesini uygulayamayan yöneticilere yardımcı olmak için danışmanlıkta bir senaryo sağlamıştır.
Komut dosyasının yalnızca BIG-IP sürümleri 14.1.0 ve sonraki sürümleri için uygun olduğuna dikkat edilmelidir. Ayrıca, hafifletme komut dosyası FIPS bütünlük kontrol arızalarına neden olabileceğinden, FIPS 140-2 uyumlu mod lisansı olanlara dikkat edilir.
F5 tarafından sağlanan komut dosyasını kullanarak hafifletmeyi uygulamak için aşağıdaki adımları izleyin:
Viprion, VIPRION'daki VCMP konukları ve Velos'taki Big-IP kiracıları komut dosyasını her bir bıçakta ayrı ayrı çalıştırmalıdır.
Her bir bıçağa bir yönetim IP adresi atanmamışsa, çalıştırmak için seri konsola bağlanabilirsiniz.
F5 BIG-IP cihazları hükümetler, Fortune 500 firmaları, bankalar, servis sağlayıcılar ve büyük tüketici markaları tarafından kullanıldığından, bu cihazların sömürülmesini önlemek için mevcut herhangi bir düzeltme veya hafifletme uygulaması şiddetle tavsiye edilir.
Praetorian ayrıca trafik yönetimi kullanıcı arayüzünün ilk etapta asla internete maruz kalmaması gerektiği konusunda da uyarıyor.
Ne yazık ki, geçmişte gösterildiği gibi, F5 BIG-IP TMUI geçmişte maruz kaldı ve saldırganların cihazları silmek ve ağlara ilk erişim elde etmek için güvenlik açıklarından yararlanmasına izin verdi.
Solarwinds Access Denetim Çözümü'nde bulunan kritik RCE kusurları
Sıfır günlük RCE saldırılarına maruz kalan milyonlarca exim posta sunucusu
Yasalaşmamış RCE kusuruna karşı savunmasız binlerce ardıç cihazı
Kritik uzaktan kod yürütme kusurlarına karşı savunmasız asus yönlendiricileri
VMware, vCenter Server'da kritik kod yürütme kusurunu düzeltiyor
Kaynak: Bleeping Computer