F5 Networks Big-IP uygulama dağıtım ve güvenlik platformunda yakın zamanda keşfedilen iki güvenlik açığı artık tehdit aktörleri tarafından zincirleniyor ve istismar ediliyor; bu da popüler ürün ailesinin binlerce kullanıcısını riske atıyor.
Platform ilk olarak 1997’de tanıtıldı ve o zamandan beri yük dengeleme, SSL boşaltma, web uygulaması güvenlik duvarları (WAF’ler) ve uygulama hızlandırma gibi alanları kapsayan bir dizi ağ ve güvenlik hizmetini içerecek şekilde genişletildi.
Platformdaki iki kusur (CVE-2023-46747 ve CVE-2023-46748 olarak atanan) Ekim ayının sonunda açıklandı.
Bunlardan ilki, Big-IP yapılandırma yardımcı programında kimlik doğrulamasız uzaktan kod yürütme (RCE) güvenlik açığıdır. Uygulandığı ürün ailesinin öğelerinde CVSSv3 puanı 9,8’dir ve kritik öneme sahiptir.
İkincisi, yine yapılandırma yardımcı programında bulunan, kimliği doğrulanmış bir SQL ekleme güvenlik açığıdır. Uygulandığı ürün ailesinin öğelerinde CVSSv3 puanı 8,8’dir ve ciddiyeti yüksektir.
Hangi öğelerin risk altında olduğuna ve mevcut düzeltmelere ilişkin daha fazla ayrıntıyı, aynı zamanda risk azaltma ve risk göstergeleri (IoC’ler) hakkında da rehberlik içeren bağlantılı tavsiyelerde bulabilirsiniz.
Bu haftanın başlarında yayınlanan bir güncellemede F5, artık güvenlik açığı zincirinin vahşi ortamda istismar edildiğini gördüğünü söyledi.
Kuruluş, tavsiyelerinde “Bu bilgi, F5’in güvenliği ihlal edilmiş cihazlarda gördüğü ve güvenilir göstergeler gibi görünen kanıtlara dayanmaktadır” dedi.
“Kötüye kullanılan tüm sistemlerin aynı göstergeleri göstermeyebileceğini ve aslında yetenekli bir saldırganın çalışmalarının izlerini kaldırabileceğini unutmamak önemlidir. Bir cihazın güvenliğinin ihlal edilmediğini kanıtlamak mümkün değildir; Herhangi bir belirsizlik olduğunda cihazın güvenliğinin ihlal edildiğini düşünmelisiniz.”
Güvenlik açıklarına ilişkin daha fazla teknik ayrıntı, güvenlik açıklarını ilk başta bildiren araştırmacılar olan Michael Weber ve penetrasyon testi ve saldırı güvenliği uzmanı Praetorian’dan Thomas Hendrickson tarafından yayınlandı. Artık bir kavram kanıtı (PoC) da kullanıma sunuldu, bu nedenle önümüzdeki günlerde istismarın artmaya başlaması muhtemeldir.
Yapay zeka destekli tehdit istihbaratı hizmetlerinin tedarikçisi Centripetal’in güvenlik mühendisi Colin Little, yük dengeleyiciler gibi kritik platformlarda ciddi güvenlik açıklarının bulunmaya devam etmesinin kullanıcılar için hayal kırıklığı kaynağı olacağını söyledi.
“Güvenlik açıkları silinmeyecek şekilde birbirine bağlı; çünkü biri kimlik doğrulama gerektiriyor, diğeri ise kimlik doğrulamayı atlıyor. Aynı hizmette de mevcutlar, bu da son derece yumuşak bir karnını ve muhtemelen geliştirme yaşam döngüsünde bir miktar ihmal veya gözetimi ortaya koyuyor” dedi.
“Yetenekli bir saldırganın çalışmalarının izlerini kaldırması hem mümkün, hem de bir cihazın ele geçirilmediğini kanıtlamak mümkün değil. Bu gerçekler, tek başına bakıldığında nadir ve belki de benzersizdir; birlikte bakıldığında ise kesinlikle benzersizdir. Üreticinin bunu ürününe ilişkin resmi belgelerinde belirtmesi, ‘ihlalin varsayılması’na tamamen yeni bir anlam kazandırır.
Little şunları ekledi: “Sabit bir sürüm mevcut değilse, CVE-2023-46747’ye yönelik azaltıcı etkenler, ‘bu sürüme yüklenmemelidir’ ve ‘bu bölümü düzenlerken çok dikkatli olun…’ gibi uyarılarla dolu karmaşık bir komut dosyası içeriyor gibi görünüyor… ‘. Azaltma kulağa karmaşık geliyor ve F5 bunları uygulamak için sistem yöneticisinin becerilerine büyük ölçüde güveniyor.”