Το F5 διορθώνει το BIG-IP auth bypass επιτρέποντας επιθέσεις απομακρυσμένης εκτέλεσης κώδικα

By

Marizas Dimitris

On

Οκτ 27, 2023

Μια κρίσιμη ευπάθεια στο βοηθη

τι

κό πρόγραμμα διαμόρφωσης F5 BIG-IP, που παρακολουθείται ως CVE-

2023

-46747, επιτρέπει σε έναν εισβολέα με απομακρυσμένη πρόσβαση στο βοηθητικό πρόγραμμα διαμόρφωσης να εκτελεί εκτέλεση απομακρυσμένου κώδικα χωρίς έλεγχο ταυτότητας.

Το ελάττωμα έχει λάβει βαθμολογία CVSS v3.1 9,8, χαρακτηρίζοντάς το “κρίσιμο”, καθώς μπορεί να χρησιμοποιηθεί χωρίς έλεγχο ταυτότητας σε επιθέσεις χαμηλής πολυπλοκότητας.

“Αυτή η ευπάθεια μπορεί να επιτρέψει σε έναν εισβολέα χωρίς έλεγχο ταυτότητας με πρόσβαση δικτύου στο σύστημα BIG-IP μέσω της θύρας διαχείρισης ή/και των διευθύνσεων IP του εαυτού να εκτελεί αυθαίρετες εντολές συστήματος.”

διαβάζει το δελτίο ασφαλείας του F5

.

Οι φορείς απειλών μπορούν να εκμεταλλευτούν μόνο συσκευές που έχουν τη διεπαφή χρήστη διαχείρισης κυκλοφορίας (TMUI) εκτεθειμένη στο διαδίκτυο και δεν επηρεάζουν το επίπεδο δεδομένων.

Ωστόσο, καθώς το TMUI εκτίθεται συνήθως εσωτερικά, ένας παράγοντας απειλής που έχει ήδη θέσει σε κίνδυνο ένα δίκτυο θα μπορούσε να εκμεταλλευτεί το ελάττωμα.

Οι εκδόσεις BIG-IP που επηρεάζονται είναι οι ακόλουθες:

17.x: 17.1.0
16.x: 16.1.0 – 16.1.4
15.x: 15.1.0 – 15.1.10
14.x: 14.1.0 – 14.1.5
13.x: 13.1.0 – 13.1.5

Το CVE-2023-46747 δεν επηρεάζει τα

προϊόντα

BIG-IP Next, BIG-IQ Centralized Management, F5 Distributed

Cloud

Services, F5OS, NGINX και Traffix SDC.

Οι μη υποστηριζόμενες εκδόσεις προϊόντων που έχουν φτάσει στο EoL (τέλος ζωής) δεν έχουν αξιολογηθεί έναντι του CVE-2023-46747, επομένως μπορεί να είναι ευάλωτες ή όχι.

Λόγω των κινδύνων που ενέχει η χρήση αυτών των εκδόσεων, η σύσταση είναι η αναβάθμιση σε μια υποστηριζόμενη έκδοση το συντομότερο δυνατό.

Αποκάλυψη και επιδιόρθωση

Το ζήτημα ανακαλύφθηκε από τους ερευνητές της Praetorian Security Thomas Hendrickson και Michael Weber, οι οποίοι το ανέφεραν στον πωλητή στις 5 Οκτωβρίου 2023.

Ο Praetorian μοιράστηκε περισσότερες τεχνικές λεπτομέρειες στο CVE-2023-46747

μέσω ανάρτησης ιστολογίου

με τους ερευνητές να υπόσχονται να αποκαλύψουν τις πλήρεις λεπτομέρειες εκμετάλλευσης μόλις ξεκινήσει η ενημέρωση κώδικα του συστήματος.

Η F5 επιβεβαίωσε ότι είχε αναπαράγει την ευπάθεια στις 12 Οκτωβρίου και δημοσίευσε την ενημέρωση ασφαλείας μαζί με την συμβουλευτική στις 26 Οκτωβρίου 2023.

Οι προτεινόμενες εκδόσεις ενημέρωσης που αντιμετωπίζουν την ευπάθεια είναι:

17.1.0.3 + επείγουσα επιδιόρθωση-BIGIP-17.1.0.3.0.75.4-ENG
16.1.4.1 + Επείγουσα επιδιόρθωση-BIGIP-16.1.4.1.0.50.5-ENG
15.1.10.2 + Επείγουσα επιδιόρθωση-BIGIP-15.1.10.2.0.44.2-ENG
14.1.5.6 + επείγουσα επιδιόρθωση-BIGIP-14.1.5.6.0.10.6-ENG
13.1.5.1 + Επείγουσα επιδιόρθωση-BIGIP-13.1.5.1.0.20.2-ENG

Το F5 έχει επίσης παράσχει μια δέσμη ενεργειών στις συμβουλές για να βοηθήσει τους διαχειριστές που δεν μπορούν να εφαρμόσουν τη διαθέσιμη ενημέρωση ασφαλείας για να μετριάσουν το πρόβλημα.

Θα πρέπει να σημειωθεί ότι το σενάριο είναι κατάλληλο μόνο για εκδόσεις BIG-IP 14.1.0 και νεότερες. Επίσης, συνιστάται προσοχή σε όσους διαθέτουν άδεια λειτουργίας συμβατής λειτουργίας FIPS 140-2, καθώς η δέσμη ενεργειών μετριασμού μπορεί να προκαλέσει αποτυχίες ελέγχου ακεραιότητας FIPS.

Για να εφαρμόσετε τον μετριασμό χρησιμοποιώντας τη δέσμη ενεργειών που παρέχεται από το F5, ακολουθήστε τα παρακάτω βήματα:

Κατεβάστε

και αποθηκεύστε το σενάριο στο επηρεαζόμενο σύστημα BIG-IP
Μετονομάστε το αρχείο .txt ώστε να έχει την επέκταση .sh, όπως, για παράδειγμα, «mitigation.sh».
Συνδεθείτε στη γραμμή εντολών του επηρεαζόμενου συστήματος BIG-IP ως χρήστης root
Εκτελέστε το σενάριο με το ‘/root/mitigation.sh’

Οι επισκέπτες VIPRION, vCMP στο VIPRION και οι ενοικιαστές BIG-IP στο VELOS πρέπει να εκτελούν το σενάριο ξεχωριστά σε κάθε

blade

.

Εάν δεν έχει εκχωρηθεί διεύθυνση IP διαχείρισης σε κάθε blade, μπορείτε να συνδεθείτε στη σειριακή κονσόλα για να το εκτελέσετε.

Καθώς οι συσκευές F5 BIG-IP χρησιμοποιούνται από κυβερνήσεις, εταιρείες του Fortune 500, τράπεζες, παρόχους υπηρεσιών και μεγάλες μάρκες καταναλωτών, συνιστάται να εφαρμόζετε τυχόν διαθέσιμες επιδιορθώσεις ή μετριασμούς για να αποτρέψετε την εκμετάλλευση αυτών των συσκευών.

Το Praetorian προειδοποιεί επίσης ότι η διεπαφή χρήστη διαχείρισης κυκλοφορίας δεν πρέπει ποτέ να εκτίθεται εξαρχής στο διαδίκτυο.

Δυστυχώς, όπως φαίνεται στο παρελθόν, το F5 BIG-IP TMUI έχει εκτεθεί στο παρελθόν, επιτρέποντας στους εισβολείς να εκμεταλλευτούν ευπάθειες για να σκουπίσουν συσκευές και να αποκτήσουν αρχική πρόσβαση στα δίκτυα.

VIA:

bleepingcomputer.com

Παρόμοια άρθρα