Alerte : F5 met en garde contre les attaques actives exploitant la vulnérabilité BIG-IP


01 novembre 2023RédactionVulnérabilité / Cyberattaque

F5 met en garde contre un abus actif d’une faille de sécurité critique dans BIG-IP moins d’une semaine après sa divulgation publique, entraînant l’exécution de commandes système arbitraires dans le cadre d’une chaîne d’exploitation.

Suivi comme CVE-2023-46747 (score CVSS : 9,8), le vulnérabilité permet à un attaquant non authentifié ayant un accès réseau au système BIG-IP via le port de gestion d’exécuter du code. Une preuve de concept (PoC) exploiter a été fait depuis disponible par ProjectDiscovery.

Cela affecte les versions suivantes du logiciel –

  • 17.1.0 (Corrigé dans 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)
  • 16.1.0 – 16.1.4 (Corrigé dans 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)
  • 15.1.0 – 15.1.10 (Corrigé dans 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)
  • 14.1.0 – 14.1.5 (Corrigé dans 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)
  • 13.1.0 – 13.1.5 (Corrigé dans 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG)

Maintenant, l’entreprise est alerter qu’il a « observé des acteurs malveillants utilisant cette vulnérabilité pour exploiter CVE-2023-46748 », qui fait référence à une vulnérabilité d’injection SQL authentifiée dans l’utilitaire de configuration BIG-IP.

La cyber-sécurité

« Cette vulnérabilité peut permettre à un attaquant authentifié disposant d’un accès réseau à l’utilitaire de configuration via le port de gestion BIG-IP et/ou ses propres adresses IP d’exécuter des commandes système arbitraires », F5 noté dans un avis pour CVE-2023-46748 (score CVSS : 8,8).

En d’autres termes, des acteurs malveillants enchaînent les deux failles pour exécuter des commandes système arbitraires. Pour vérifier les indicateurs de compromission (IoC) associés à la faille d’injection SQL, il est recommandé aux utilisateurs de rechercher dans le fichier /var/log/tomcat/catalina.out les entrées suspectes comme ci-dessous :

...
java.sql.SQLException: Column not found: 0.
{...)
sh: no job control in this shell
sh-4.2$ <EXECUTED SHELL COMMAND>
sh-4.2$ exit.

La Shadowserver Foundation, dans un article sur X (anciennement Twitter), dit il « constate des tentatives F5 BIG-IP CVE-2023-46747 dans nos capteurs honeypot » depuis le 30 octobre 2023, ce qui rend impératif que les utilisateurs agissent rapidement pour appliquer les correctifs.

Ce développement a également encouragé l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à ajouter les deux failles de ses vulnérabilités exploitées connues (KEV), fondé sur des preuves d’exploitation active. Les agences fédérales sont tenues d’appliquer les correctifs fournis par les fournisseurs d’ici le 21 novembre 2023.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57