Το
F5 προειδοποιεί τους διαχειριστές BIG-IP ότι οι συσκευές παραβιάζονται από «ειδικευμένους» χάκερ που εκμεταλλεύονται δύο ευπάθειες που αποκαλύφθηκαν πρόσφατα για να διαγράψουν τα σημάδια της πρόσβασής τους και να επιτύχουν μυστική εκτέλεση κώδικα.
Το F5 BIG-IP είναι μια σουίτα προϊόντων και υπηρεσιών που προσφέρει εξισορρόπηση φορτίου, ασφάλεια και διαχείριση απόδοσης για δικτυωμένες εφαρμογές. Η πλατφόρμα έχει υιοθετηθεί ευρέως από μεγάλες
επιχειρήσεις
και κυβερνητικούς οργανισμούς, καθιστώντας τα ελαττώματα του προϊόντος σε σημαντική ανησυχία.
Την περασμένη εβδομάδα, το F5 προέτρεψε τους διαχειριστές να εφαρμόσουν διαθέσιμες ενημερώσεις ασφαλείας για δύο ευπάθειες που ανακαλύφθηκαν πρόσφατα:
-
CVE-
2023
-46747
– Κρίσιμο (βαθμολογία CVSS v3.1: 9,8) ελάττωμα παράκαμψης ελέγχου ταυτότητας που επιτρέπει σε έναν εισβολέα να έχει πρόσβαση στο βοηθητικό πρόγραμμα Configuration και να εκτελεί αυθαίρετη εκτέλεση κώδικα. -
CVE-2023-46748
– Υψηλής σοβαρότητας (βαθμολογία CVSS v3.1: 8,8) Σφάλμα έγχυσης SQL που επιτρέπει στους επιβεβαιωμένους εισβολείς με πρόσβαση δικτύου στο βοηθητικό πρόγραμμα Configuration να εκτελούν αυθαίρετες εντολές συστήματος.
Στις 30 Οκτωβρίου, ο προμηθευτής λογισμικού ενημέρωσε τα δελτία για
CVE-2023-46747
και
CVE-2023-46748
για ειδοποίηση για ενεργό εκμετάλλευση στη φύση.
«Αυτές οι πληροφορίες βασίζονται στα στοιχεία που έχει δει το F5 σε παραβιασμένες συσκευές, οι οποίες φαίνεται να είναι αξιόπιστοι δείκτες», αναφέρει η ενημέρωση για
το δελτίο
.
“Είναι σημαντικό να σημειωθεί ότι όλα τα συστήματα εκμετάλλευσης μπορεί να μην εμφανίζουν τους ίδιους δείκτες και, πράγματι, ένας έμπειρος εισβολέας μπορεί να είναι σε θέση να αφαιρέσει ίχνη της δουλειάς του.”
“Δεν είναι δυνατό να αποδειχθεί ότι μια συσκευή δεν έχει παραβιαστεί. Όταν υπάρχει οποιαδήποτε αβεβαιότητα, θα πρέπει να θεωρείτε ότι η συσκευή έχει παραβιαστεί.”
Κατάλογος KEV (Known Exploited Vulnerabilities).
προτρέποντας τις ομοσπονδιακές κυβερνητικές υπηρεσίες να εφαρμόσουν τις διαθέσιμες ενημερώσεις έως τις 21 Νοεμβρίου 2023.
Οι κρουσμένες και σταθερές εκδόσεις δίνονται παρακάτω:
- 17.1.0 (επηρεάζεται), διορθώθηκε στις 17.1.0.3 + Επείγουσα επιδιόρθωση-BIGIP-17.1.0.3.0.75.4-ENG και μεταγενέστερη
- 16.1.0 – 16.1.4 (επηρεάζεται), διορθώθηκε στις 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG και μεταγενέστερη
- 15.1.0 – 15.1.10 (επηρεάζεται), διορθώθηκε στις 15.1.10.2 + Επείγουσα επιδιόρθωση-BIGIP-15.1.10.2.0.44.2-ENG και μεταγενέστερη
- 14.1.0 – 14.1.5 (επηρεάζεται), διορθώθηκε στις 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG και μεταγενέστερη
- 13.1.0 – 13.1.5 (επηρεάζεται), διορθώθηκε στις 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG και μεταγενέστερη
Το F5 δημοσίευσε επίσης ένα σενάριο που βοηθά στον μετριασμό του ελαττώματος του RCE, τις οδηγίες χρήσης του οποίου μπορείτε να βρείτε εδώ.
Το F5 έχει παρατηρήσει παράγοντες απειλών που χρησιμοποιούν τα δύο ελαττώματα σε συνδυασμό, επομένως ακόμη και η
εφαρμογή
του μετριασμού για το CVE-2023-46747 θα μπορούσε να είναι αρκετή για να σταματήσει τις περισσότερες επιθέσεις.
Για καθοδήγηση σχετικά με τον τρόπο αναζήτησης δεικτών συμβιβασμού (IoC) στο BIG-IP και πώς να ανακτήσετε τα παραβιασμένα συστήματα,
ελέγξτε αυτήν την ιστοσελίδα
.
Τα IoC που αφορούν συγκεκριμένα το CVE-2023-46748 είναι εγγραφές στο αρχείο /var/log/tomcat/catalina.out που έχουν την ακόλουθη μορφή:
{...}
java.sql.SQLException: Column not found: 0.
{...)
sh: no job
control
in this shell
sh-4.2$ exit.
Δεδομένου ότι οι εισβολείς μπορούν να διαγράψουν τα ίχνη τους χρησιμοποιώντας αυτές τις ατέλειες, τα τελικά σημεία BIG-IP που δεν έχουν επιδιορθωθεί μέχρι τώρα θα πρέπει να αντιμετωπίζονται ως παραβιασμένα.
Από άφθονη προσοχή, οι διαχειριστές εκτεθειμένων συσκευών BIG-IP θα πρέπει να προχωρήσουν κατευθείαν στη φάση καθαρισμού και αποκατάστασης.
VIA:
bleepingcomputer.com
