F5 a alerté ses clients d’une vulnérabilité de sécurité critique affectant BIG-IP et pouvant entraîner l’exécution de code à distance non authentifié.
Le problème, enraciné dans le composant utilitaire de configuration, s’est vu attribuer l’identifiant CVE CVE-2023-46747et porte un score CVSS de 9,8 sur un maximum de 10.
« Cette vulnérabilité peut permettre à un attaquant non authentifié ayant un accès réseau au système BIG-IP via le port de gestion et/ou ses propres adresses IP d’exécuter des commandes système arbitraires », F5 dit dans un avis publié jeudi. « Il n’y a pas d’exposition au plan de données ; il s’agit uniquement d’un problème de plan de contrôle. »
Les versions suivantes de BIG-IP se sont révélées vulnérables –
- 17.1.0 (Corrigé dans 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)
- 16.1.0 – 16.1.4 (Corrigé dans 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)
- 15.1.0 – 15.1.10 (Corrigé dans 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)
- 14.1.0 – 14.1.5 (Corrigé dans 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)
- 13.1.0 – 13.1.5 (Corrigé dans 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG)
À titre d’atténuation, F5 a également mis à disposition un script shell pour les utilisateurs des versions 14.1.0 et ultérieures de BIG-IP. « Ce script ne doit être utilisé sur aucune version de BIG-IP antérieure à 14.1.0, sinon il empêchera le démarrage de l’utilitaire de configuration », a prévenu la société.
D’autres solutions de contournement temporaires disponibles pour les utilisateurs sont ci-dessous –
Michael Weber et Thomas Hendrickson de Praetorian ont été reconnus pour avoir découvert et signalé la vulnérabilité le 4 octobre 2023.
L’entreprise de cybersécurité, dans un rapport technique à lui seul, a décrit CVE-2023-46747 comme un problème de contournement d’authentification pouvant conduire à une compromission totale du système F5 en exécutant des commandes arbitraires en tant que root sur le système cible, notant qu’il est « étroitement lié à CVE-2022-26377« .
Praetorian recommande également aux utilisateurs de restreindre l’accès à l’interface utilisateur de gestion du trafic (TMUI) depuis Internet. Il convient de noter que CVE-2023-46747 est la troisième faille d’exécution de code à distance non authentifiée découverte dans TMUI après CVE-2020-5902 et CVE-2022-1388.
« Un bug de contrebande de requêtes apparemment à faible impact peut devenir un problème sérieux lorsque deux services différents se déchargent mutuellement des responsabilités d’authentification », ont déclaré les chercheurs. « L’envoi de requêtes au service ‘backend’ qui suppose que l’authentification est gérée par le ‘frontend’ peut conduire à un comportement intéressant. »