Şirket, F5 Networks’ün yakın zamanda yayınladığı iki BIG-IP güvenlik açığının (CVE-2023-46747, CVE-2023-46748) vahşi saldırganlar tarafından istismar edildiğini doğruladı.
“Kötüye kullanılan tüm sistemlerin aynı göstergeleri göstermeyebileceğini ve aslında yetenekli bir saldırganın çalışmalarının izlerini kaldırabileceğini unutmamak önemlidir. Bir cihazın güvenliğinin ihlal edilmediğini kanıtlamak mümkün değildir; Herhangi bir belirsizlik olduğunda cihazın tehlikeye girdiğini düşünmelisiniz,” diye uyardı F5, güncellenen tavsiyelerde.
CVE-2023-46747 ve CVE-2023-46748’den yararlanıldı
CVE-2023-46747, BIG-IP’nin Yapılandırma yardımcı programını (diğer adıyla Trafik Yönetimi Kullanıcı Arayüzü) etkileyen ve kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine yol açabilecek bir kimlik doğrulama atlama güvenlik açığıdır. Bu durum Ekim başında Praetorian Güvenlik’ten Thomas Hendrickson ve Michael Weber tarafından F5’e bildirildi.
CVE-2023-46748, aynı BIG-IP bileşenini etkileyen bir SQL enjeksiyon güvenlik açığıdır ve bu bileşene ağ erişimi olan, kimliği doğrulanmış bir saldırganın rastgele sistem komutlarını yürütmesine izin verebilir. İsimsiz bir araştırmacı tarafından F5’e bildirildi.
F5, 26 Ekim’de savunmasız cihazlar için düzeltmeler yayınladı. Birkaç gün sonra Project Discovery, CVE-2023-46747 saldırı zincirini içeren bir Nuclei şablonu yayınladı ve Praetorian, güvenlik açığına ve bundan nasıl yararlanıldığına ilişkin teknik ayrıntıları yayınladı.
Düzeltmeler, azaltıcı etkenler ve inceleme önerileri
F5, 30 Ekim’de her iki güvenlik açığına ilişkin güvenlik önerilerini güncelledi ve iki kusurun birlikte kullanıldığını doğruladı.
Yöneticilere tavsiyeleri hala:
- Düzeltmeleri mümkün olan en kısa sürede uygulayın
- Kendi IP adresleri aracılığıyla Yapılandırma yardımcı programına erişimi engelleyin veya güvenli bir ağ üzerinden güvenilir kullanıcılara ve cihazlara erişimi kısıtlayın
Ancak bu önlemler şimdiye kadar alınmamışsa kurumsal savunucular, internete bakan BIG-IP cihazlarının güvenliğinin ihlal edildiği varsayımıyla çalışmalı ve F5 tarafından sağlanan güvenlik ihlali göstergelerini (IoC’ler) kontrol etmelidir.
Şirket, “Bu bilgi, F5’in güvenliği ihlal edilmiş cihazlarda gördüğü ve güvenilir göstergeler gibi görünen kanıtlara dayanıyor” dedi ancak IoC’lerin değişebileceğini ve saldırganların faaliyetlerine ilişkin kanıtları kaldırabildiklerini kaydetti.
Siber Güvenlik ve Altyapı Ajansı (CISA), Bilinen Yararlanılan Güvenlik Açıkları Kataloğuna CVE-2023-46747 ve CVE-2023-46748’i ekledi.