F5, BIG-IP yöneticilerini, cihazların erişim işaretlerini silmek ve gizli kod yürütmeyi sağlamak için yakın zamanda açıklanan iki güvenlik açığından yararlanan “becerikli” bilgisayar korsanları tarafından ihlal edildiği konusunda uyarıyor.
F5 BIG-IP, ağ bağlantılı uygulamalar için yük dengeleme, güvenlik ve performans yönetimi sunan bir ürün ve hizmet paketidir. Platformun büyük şirketler ve devlet kurumları tarafından geniş çapta benimsenmesi, üründeki herhangi bir kusuru önemli bir endişe kaynağı haline getiriyor.
Geçtiğimiz hafta F5, yöneticileri yeni keşfedilen iki güvenlik açığı için mevcut güvenlik güncellemelerini uygulamaya çağırdı:
- CVE-2023-46747 – Kritik (CVSS v3.1 puanı: 9,8) kimlik doğrulama atlama kusuru, bir saldırganın Yapılandırma yardımcı programına erişmesine ve rastgele kod yürütmesine olanak tanır.
- CVE-2023-46748 – Yüksek önem derecesine sahip (CVSS v3.1 puanı: 8,8) SQL enjeksiyon kusuru, kimliği doğrulanmış saldırganların, Yapılandırma yardımcı programına ağ erişimiyle rastgele sistem komutlarını yürütmesine olanak tanır.
30 Ekim’de yazılım satıcısı, vahşi doğada aktif istismar konusunda uyarıda bulunmak için CVE-2023-46747 ve CVE-2023-46748 bültenlerini güncelledi.
Bültendeki güncellemede, “Bu bilgi, F5’in güvenilir göstergeler gibi görünen, güvenliği ihlal edilmiş cihazlarda gördüğü kanıtlara dayanmaktadır” yazıyor.
“Kötüye kullanılan tüm sistemlerin aynı göstergeleri göstermeyebileceğini ve aslında yetenekli bir saldırganın çalışmalarının izlerini kaldırabileceğini unutmamak önemlidir.”
“Bir cihazın güvenliğinin ihlal edilmediğini kanıtlamak mümkün değildir; herhangi bir belirsizlik olduğunda cihazın güvenliğinin ihlal edildiğini düşünmelisiniz.”
CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), iki güvenlik açığını KEV (Bilinen İstismar Edilen Güvenlik Açıkları) kataloğuna ekleyerek federal hükümet kurumlarına mevcut güncellemeleri 21 Kasım 2023’e kadar uygulamaları çağrısında bulundu.
Etkilenen ve düzeltilen sürümler aşağıda verilmiştir:
- 17.1.0 (etkilendi), 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG ve sonrasında düzeltildi
- 16.1.0 – 16.1.4 (etkilendi), 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG ve sonrasında düzeltildi
- 15.1.0 – 15.1.10 (etkilendi), 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG ve sonrasında düzeltildi
- 14.1.0 – 14.1.5 (etkilendi), 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG ve sonrasında düzeltildi
- 13.1.0 – 13.1.5 (etkilendi), 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG ve sonrasında düzeltildi
F5 ayrıca RCE kusurunu azaltmaya yardımcı olan bir komut dosyası yayınladı; kullanım talimatlarını burada bulabilirsiniz.
F5, tehdit aktörlerinin iki kusuru birlikte kullandığını gözlemledi; bu nedenle, CVE-2023-46747’ye yönelik hafifletmenin uygulanması bile çoğu saldırıyı durdurmak için yeterli olabilir.
BIG-IP’de güvenlik ihlali göstergelerinin (IoC’ler) nasıl aranacağı ve güvenliği ihlal edilmiş sistemlerin nasıl kurtarılacağı konusunda rehberlik için bu web sayfasına göz atın.
CVE-2023-46748 ile ilgili IoC’ler özellikle /var/log/tomcat/catalina.out dosyasındaki aşağıdaki forma sahip girişlerdir:
{...}
java.sql.SQLException: Column not found: 0.
{...)
sh: no job control in this shell
sh-4.2$
sh-4.2$ exit.
Saldırganların bu kusurları kullanarak izlerini silebilecekleri göz önüne alındığında, şimdiye kadar yama yapılmamış BIG-IP uç noktalarının tehlikeye atılmış olduğu düşünülmelidir.
Açıkta kalan BIG-IP cihazlarının yöneticileri, çok dikkatli bir şekilde doğrudan temizleme ve restorasyon aşamasına geçmelidir.