Aktívne zneužívaná zraniteľnosť v BIG-IP

January 23, 2024

Spoločnosť F5 poukázala na aktívne zneužívanú zraniteľnosť CVE-2023-46747, ktorá umožňuje neautentifikovanému útočníkovi vzdialené vykonávanie kódu. Existuje viac ako 6 000 internetových inštancií, ktoré používajú aplikačnú sieťovú bezpečnosť BIG-IP, ktoré sú potenciálne ohrozené.

Zraniteľné systémy:

BIG-IP:

17.1.0 (Opravené v 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)
16.1.0 – 16.1.4 (Opravené v 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)
15.1.0 – 15.1.10 (Opravené v 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)
14.1.0 – 14.1.5 (Opravené v 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)
13.1.0 – 13.1.5 (Opravené v 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG)

Opis činnosti:

CVE-2023-46747 (CVSS skóre 9,8)

Kritická zraniteľnosť CVE-2023-46747 v konfiguračnom nástroji BIG-IP umožňuje neautentifikovanému útočníkovi so sieťovým prístupom k manažmentovému portu zraniteľného zariadenia vykonávať ľubovoľné systémové príkazy. Zraniteľnosť spočíva v prepašovaní škodlivej požiadavky, pomocou ktorej môže útočník získať administrátorské práva.

Zraniteľnosť je možné zreťaziť so zraniteľnosťou CVE-2023-46748, ktorá umožňuje autentifikovanému útočníkovi vykonávať SQL injekcie v konfiguračnom nástroji. To umožňuje útočníkom vykonávať systémové príkazy, čo môže viesť ku vzdialenému vykonávaniu kódu.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Ľubovoľné vykonávanie systémových príkazov
Eskalácia privilégií

Odporúčania:

VJ CSIRT odporúča obmedziť prístup k administratívnemu rozhraniu Traffic Management User Interface. Pre Big-IP verzie 14.1.0 a novšie spustite skript podľa návodu/postupu.

Používateľom sa odporúča skontrolovať súbor /var/log/tomcat/catalina.out, či sa v ňom nenachádzajú podozrivé záznamy, ako napríklad:

{…}

java.sql.SQLException: Column not found: 0.

{…)

sh: no job control in this shell

sh-4.2$ <EXECUTED SHELL COMMAND>

sh-4.2$ exit.

Aktualizácia BIG-IP na opravené verzie: