F5 a alerté ses clients d’une vulnérabilité de sécurité critique affectant BIG-IP et pouvant entraîner l’exécution de code à distance non authentifié.
Le problème, enraciné dans le composant utilitaire de configuration, s’est vu attribuer l’identifiant CVE CVE-2023-46747et porte un score CVSS de 9,8 sur un maximum de 10.
“Cette vulnérabilité peut permettre à un attaquant non authentifié ayant un accès réseau au système BIG-IP via le port de gestion et/ou ses propres adresses IP d’exécuter des commandes système arbitraires”, F5 dit dans un avis publié jeudi. “Il n’y a pas d’exposition au plan de données ; il s’agit uniquement d’un problème de plan de contrôle.”
Les versions suivantes de BIG-IP se sont révélées vulnérables –
- 17.1.0 (Corrigé dans 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)
- 16.1.0 – 16.1.4 (Corrigé dans 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)
- 15.1.0 – 15.1.10 (Corrigé dans 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)
- 14.1.0 – 14.1.5 (Corrigé dans 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)
- 13.1.0 – 13.1.5 (Corrigé dans 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG)
À titre d’atténuation, F5 a également mis à disposition un script shell pour les utilisateurs des versions 14.1.0 et ultérieures de BIG-IP. “Ce script ne doit être utilisé sur aucune version de BIG-IP antérieure à 14.1.0, sinon il empêchera le démarrage de l’utilitaire de configuration”, a prévenu la société.
D’autres solutions de contournement temporaires disponibles pour les utilisateurs sont ci-dessous –
Michael Weber et Thomas Hendrickson de Praetorian ont été reconnus pour avoir découvert et signalé la vulnérabilité le 4 octobre 2023.
L’entreprise de cybersécurité, dans un rapport technique à lui seul, a décrit CVE-2023-46747 comme un problème de contournement d’authentification pouvant conduire à une compromission totale du système F5 en exécutant des commandes arbitraires en tant que root sur le système cible, notant qu’il est « étroitement lié à CVE-2022-26377“.
Praetorian recommande également aux utilisateurs de restreindre l’accès à l’interface utilisateur de gestion du trafic (TMUI) depuis Internet. Il convient de noter que CVE-2023-46747 est la troisième faille d’exécution de code à distance non authentifiée découverte dans TMUI après CVE-2020-5902 et CVE-2022-1388.
“Un bug de contrebande de requêtes apparemment à faible impact peut devenir un problème sérieux lorsque deux services différents se déchargent mutuellement des responsabilités d’authentification”, ont déclaré les chercheurs. “L’envoi de requêtes au service ‘backend’ qui suppose que l’authentification est gérée par le ‘frontend’ peut conduire à un comportement intéressant.”



