F5, müşterileri BIG-IP’yi etkileyen, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine neden olabilecek kritik bir güvenlik açığı konusunda uyardı.
Yapılandırma yardımcı programı bileşeninden kaynaklanan soruna CVE tanımlayıcısı atandı CVE-2023-46747ve maksimum 10 üzerinden 9,8 CVSS puanına sahiptir.
F5, Perşembe günü yayınlanan bir danışma belgesinde “Bu güvenlik açığı, yönetim bağlantı noktası ve/veya kendi IP adresleri aracılığıyla BIG-IP sistemine ağ erişimi olan, kimliği doğrulanmamış bir saldırganın rastgele sistem komutları yürütmesine izin verebilir” dedi. “Veri düzlemine maruz kalma yok; bu yalnızca bir kontrol düzlemi sorunudur.”
BIG-IP’nin aşağıdaki sürümlerinin saldırıya açık olduğu tespit edildi:
- 17.1.0 (17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG’de düzeltildi)
- 16.1.0 – 16.1.4 (16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG’de düzeltildi)
- 15.1.0 – 15.1.10 (15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG’de düzeltildi)
- 14.1.0 – 14.1.5 (14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG’de düzeltildi)
- 13.1.0 – 13.1.5 (13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG’de düzeltildi)
Azaltıcı önlem olarak F5, BIG-IP 14.1.0 ve üzeri sürüm kullanıcıları için bir kabuk komut dosyasını da kullanıma sunmuştur. Şirket, “Bu komut dosyası 14.1.0’dan önceki herhangi bir BIG-IP sürümünde kullanılmamalıdır, aksi takdirde Yapılandırma yardımcı programının başlatılmasını engelleyecektir” diye uyardı.
Kullanıcılara sunulan diğer geçici çözümler aşağıdadır:
Praetorian’dan Michael Weber ve Thomas Hendrickson, 4 Ekim 2023’te güvenlik açığını keşfedip rapor ettiler.
Siber güvenlik şirketi, kendi teknik raporunda, CVE-2023-46747’yi, hedef sistemde kök olarak rastgele komutlar yürüterek F5 sisteminin tamamen tehlikeye girmesine yol açabilecek bir kimlik doğrulama atlama sorunu olarak tanımladı ve bunun “yakından ilişkili olduğunu” belirtti. CVE-2022-26377’ye göre.”
Praetorian ayrıca kullanıcıların İnternet üzerinden Trafik Yönetimi Kullanıcı Arayüzüne (TMUI) erişimini kısıtlamalarını da tavsiye ediyor. CVE-2023-46747’nin, CVE-2020-5902 ve CVE-2022-1388’den sonra TMUI’de ortaya çıkarılan üçüncü kimlik doğrulamasız uzaktan kod yürütme hatası olduğunu belirtmekte fayda var.
Araştırmacılar, “Görünüşte düşük etkili bir istek kaçakçılığı hatası, iki farklı hizmet kimlik doğrulama sorumluluklarını birbirine devrettiğinde ciddi bir sorun haline gelebilir” dedi. “‘Ön uç’ kimlik doğrulamasının işlendiğini varsayan ‘arka uç’ hizmetine istek göndermek bazı ilginç davranışlara yol açabilir.”