F5, BIG-IP’deki kritik bir güvenlik kusurunun, kamuya açıklanmasından bir haftadan kısa bir süre sonra, bir istismar zincirinin parçası olarak keyfi sistem komutlarının yürütülmesine yol açabilecek şekilde aktif olarak kötüye kullanıldığı konusunda uyarıda bulunuyor.
Şu şekilde izlendi: CVE-2023-46747 (CVSS puanı: 9,8), güvenlik açığı, kimliği doğrulanmamış bir saldırganın yönetim portu üzerinden BIG-IP sistemine ağ erişimiyle kod yürütmesine olanak tanır. Bir kavram kanıtı (PoC) faydalanmak o zamandan beri ProjectDiscovery tarafından kullanıma sunuldu.
Yazılımın aşağıdaki sürümlerini etkiler:
- 17.1.0 (17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG’de düzeltildi)
- 16.1.0 – 16.1.4 (16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG’de düzeltildi)
- 15.1.0 – 15.1.10 (15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG’de düzeltildi)
- 14.1.0 – 14.1.5 (14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG’de düzeltildi)
- 13.1.0 – 13.1.5 (13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG’de düzeltildi)
Şimdi şirket, BIG-IP Yapılandırma yardımcı programında kimliği doğrulanmış bir SQL ekleme güvenlik açığına atıfta bulunan “tehdit aktörlerinin CVE-2023-46748’den yararlanmak için bu güvenlik açığını kullandığını gözlemlediği” konusunda uyarıyor.
CVE-2023-46748 (CVSS puanı: 8.8).
Başka bir deyişle, kötü aktörler keyfi sistem komutlarını çalıştırmak için iki kusuru zincirliyorlar. SQL enjeksiyon kusuruyla ilişkili güvenlik ihlali göstergelerini (IoC’ler) kontrol etmek için kullanıcıların /var/log/tomcat/catalina.out dosyasında aşağıdaki gibi şüpheli girişleri kontrol etmeleri önerilir:
{...}
java.sql.SQLException: Column not found: 0.
{...)
sh: no job control in this shell
sh-4.2$
sh-4.2$ exit.
Shadowserver Vakfı, X’teki (eski adıyla Twitter) bir gönderide, söz konusu 30 Ekim 2023’ten beri “bal küpü sensörlerimizde F5 BIG-IP CVE-2023-46747 denemeleri görülüyor” ve bu da kullanıcıların düzeltmeleri uygulamak için hızlı hareket etmelerini zorunlu kılıyor.