F5 BIG-IP yapılandırma yardımcı programında CVE-2023-46747 olarak izlenen kritik bir güvenlik açığı, yapılandırma yardımcı programına uzaktan erişimi olan bir saldırganın kimliği doğrulanmamış uzaktan kod yürütme gerçekleştirmesine olanak tanır.
Kusur, düşük karmaşıklıktaki saldırılarda kimlik doğrulaması olmadan kullanılabildiği için CVSS v3.1’de 9,8 puan aldı ve “kritik” olarak derecelendirildi.
F5’in güvenlik bülteninde “Bu güvenlik açığı, yönetim bağlantı noktası ve/veya kendi IP adresleri aracılığıyla BIG-IP sistemine ağ erişimi olan, kimliği doğrulanmamış bir saldırganın rastgele sistem komutları yürütmesine izin verebilir” yazıyor.
Tehdit aktörleri yalnızca İnternet’e açık Trafik Yönetimi Kullanıcı Arayüzü (TMUI) bulunan ve veri düzlemini etkilemeyen cihazlardan yararlanabilir.
Ancak TMUI genellikle dahili olarak açığa çıktığı için, zaten bir ağın güvenliğini ihlal etmiş olan bir tehdit aktörü bu kusurdan yararlanabilir.
Etkilenen BIG-IP sürümleri şunlardır:
- 17.x: 17.1.0
- 16.x: 16.1.0 – 16.1.4
- 15.x: 15.1.0 – 15.1.10
- 14.x: 14.1.0 – 14.1.5
- 13.x: 13.1.0 – 13.1.5
CVE-2023-46747’nin BIG-IP Next, BIG-IQ Merkezi Yönetim, F5 Dağıtılmış Bulut Hizmetleri, F5OS, NGINX ve Traffix SDC ürünlerini etkilemediği açıklandı.
EoL’ye (kullanım ömrü sonu) ulaşmış desteklenmeyen ürün sürümleri, CVE-2023-46747’ye göre değerlendirilmemiştir; dolayısıyla bu sürümler savunmasız olabilir veya olmayabilir.
Bu sürümleri kullanmanın içerdiği riskler nedeniyle, desteklenen bir sürüme mümkün olan en kısa sürede yükseltme yapılması önerilir.
Açıklama ve sabitleme
Sorun, Praetorian Güvenlik araştırmacıları Thomas Hendrickson ve Michael Weber tarafından keşfedildi ve 5 Ekim 2023’te satıcıya bildirildi.
Praetorian, CVE-2023-46747 ile ilgili teknik ayrıntıları paylaştı ve araştırmacılar, sistem yaması başlatıldığında tüm kullanım ayrıntılarını açıklama sözü verdi.
F5, 12 Ekim’de güvenlik açığını yeniden oluşturduğunu doğruladı ve güvenlik güncellemesini danışma belgesiyle birlikte 26 Ekim 2023’te yayınladı.
Güvenlik açığını gideren önerilen güncelleme sürümleri şunlardır:
- 17.1.0.3 + Düzeltme-BIGIP-17.1.0.3.0.75.4-ENG
- 16.1.4.1 + Düzeltme-BIGIP-16.1.4.1.0.50.5-ENG
- 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG
- 14.1.5.6 + Düzeltme-BIGIP-14.1.5.6.0.10.6-ENG
- 13.1.5.1 + Düzeltme-BIGIP-13.1.5.1.0.20.2-ENG
F5 ayrıca, sorunu azaltmak amacıyla mevcut güvenlik güncelleştirmesini uygulayamayan yöneticilere yardımcı olmak için danışma belgesinde bir komut dosyası da sağlamıştır.
Komut dosyasının yalnızca BIG-IP 14.1.0 ve sonraki sürümleri için uygun olduğuna dikkat edilmelidir. Ayrıca, azaltma komut dosyası FIPS bütünlük denetimi hatalarına neden olabileceğinden, FIPS 140-2 Uyumlu Mod lisansına sahip olanların dikkatli olması önerilir.
Azaltma işlemini F5 tarafından sağlanan komut dosyasını kullanarak uygulamak için aşağıdaki adımları izleyin:
- Betiği indirip etkilenen BIG-IP sistemine kaydedin
- .txt dosyasını .sh uzantısına sahip olacak şekilde yeniden adlandırın (örneğin, ‘mitigation.sh’).
- Etkilenen BIG-IP sisteminin komut satırında kök kullanıcı olarak oturum açın
- Betiği çalıştırılabilir hale getirmek için chmod yardımcı programını kullanın (‘chmod +x /root/mitigation.sh && touch /root/mitigation.sh’)
- Komut dosyasını ‘/root/mitigation.sh’ ile yürütün
VIPRION, VIPRION’daki vCMP konukları ve VELOS’taki BIG-IP kiracıları betiği her blade’de ayrı ayrı çalıştırmalıdır.
Her blade’e bir yönetim IP adresi atanmamışsa, çalıştırmak için seri konsola bağlanabilirsiniz.
F5 BIG-IP cihazları hükümetler, Fortune 500 firmaları, bankalar, hizmet sağlayıcılar ve büyük tüketici markaları tarafından kullanıldığından, bu cihazların kötüye kullanılmasını önlemek için mevcut tüm düzeltmelerin veya azaltıcı önlemlerin uygulanması şiddetle tavsiye edilir.
Praetorian ayrıca Trafik Yönetimi Kullanıcı Arayüzünün ilk etapta hiçbir zaman internete maruz kalmaması gerektiği konusunda da uyarıyor.
Ne yazık ki, geçmişte de görüldüğü gibi, F5 BIG-IP TMUI geçmişte açığa çıkarılmış ve saldırganların cihazları silmek ve ağlara ilk erişim elde etmek için güvenlik açıklarından yararlanmasına olanak tanınmıştır.