F5, müşterileri BIG-IP’yi etkileyen, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine neden olabilecek kritik bir güvenlik açığı konusunda uyardı.
Yapılandırma yardımcı programı bileşeninden kaynaklanan soruna CVE tanımlayıcısı atandı CVE-2023-46747ve maksimum 10 üzerinden 9,8 CVSS puanına sahiptir.
“Bu güvenlik açığı, yönetim bağlantı noktası ve/veya kendi IP adresleri aracılığıyla BIG-IP sistemine ağ erişimi olan, kimliği doğrulanmamış bir saldırganın rastgele sistem komutlarını yürütmesine izin verebilir.” F5 söz konusu Perşembe günü yayınlanan bir tavsiye niteliğinde. “Veri düzlemine maruz kalma yok; bu yalnızca bir kontrol düzlemi sorunudur.”
BIG-IP’nin aşağıdaki sürümlerinin saldırıya açık olduğu tespit edildi:
- 17.1.0 (17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG’de düzeltildi)
- 16.1.0 – 16.1.4 (16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG’de düzeltildi)
- 15.1.0 – 15.1.10 (15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG’de düzeltildi)
- 14.1.0 – 14.1.5 (14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG’de düzeltildi)
- 13.1.0 – 13.1.5 (13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG’de düzeltildi)
Azaltıcı önlem olarak F5, BIG-IP 14.1.0 ve üzeri sürüm kullanıcıları için bir kabuk komut dosyasını da kullanıma sunmuştur. Şirket, “Bu komut dosyası 14.1.0’dan önceki herhangi bir BIG-IP sürümünde kullanılmamalıdır, aksi takdirde Yapılandırma yardımcı programının başlatılmasını engelleyecektir” diye uyardı.
Kullanıcılara sunulan diğer geçici çözümler aşağıdadır:
Praetorian’dan Michael Weber ve Thomas Hendrickson, 4 Ekim 2023’te güvenlik açığını keşfedip rapor ettiler.
Siber güvenlik şirketi, teknik rapor kendi başına, CVE-2023-46747’yi, hedef sistemde kök olarak rastgele komutlar yürüterek F5 sisteminin tamamen tehlikeye girmesine yol açabilecek bir kimlik doğrulama atlama sorunu olarak tanımladı ve bunun “yakından ilişkili olduğunu” belirtti. CVE-2022-26377“
Praetorian ayrıca kullanıcıların İnternet üzerinden Trafik Yönetimi Kullanıcı Arayüzüne (TMUI) erişimini kısıtlamalarını da tavsiye ediyor. CVE-2023-46747’nin, CVE-2020-5902 ve CVE-2022-1388’den sonra TMUI’de ortaya çıkarılan üçüncü kimlik doğrulamasız uzaktan kod yürütme hatası olduğunu belirtmekte fayda var.
Araştırmacılar, “Görünüşte düşük etkili bir istek kaçakçılığı hatası, iki farklı hizmet kimlik doğrulama sorumluluklarını birbirine devrettiğinde ciddi bir sorun haline gelebilir” dedi. “‘Ön uç’ kimlik doğrulamasının işlendiğini varsayan ‘arka uç’ hizmetine istek göndermek bazı ilginç davranışlara yol açabilir.”