Menu dostępności

Krytyczna luka w zabezpieczeniach F5 Big-IP

Krytyczna luka w zabezpieczeniach F5 Big-IP. Jest publiczny POC

F5 naprawia krytyczną lukę CVE-2023-46747 w zabezpieczeniach BIG-IP, jest publiczny POC.

Nie tak dawno pisaliśmy o krytycznej podatności w CISCO, a w międzyczasie pojawiła się nowa luka w zabezpieczeniach urządzeń sieciowych BIG-IP u innego producenta – F5 Networks.

Urządzenia BIG-IP firmy F5 są używane przez rządy, dostawców usług internetowych, telekomunikację, dostawców usług w chmurze i inne duże przedsiębiorstwa na całym świecie do zarządzania i kontrolowania ruchu sieciowego oraz aplikacji.

Szczegóły CVE-2023-46747

CVE-2023-46747 to błąd odkryty i zgłoszony przez Thomasa Hendricksona i Michaela Webera z Praetorian Security. Dotyczy możliwości wywołania specjalnego polecenia w żądaniu w protokole Apache JServ Protocol (AJP) używanym przez podatne urządzenia.

„Luka może pozwolić nieuwierzytelnionemu atakującemu z dostępem sieciowym do systemu BIG-IP poprzez port zarządzania i/lub własne adresy IP na wykonanie dowolnych poleceń systemowych” – potwierdziła firma F5.

Błąd dotyczy następujących wersji wszystkich modułów BIG-IP:

  • 17.1.0
  • 16.1.0 – 16.1.4
  • 15.1.0 – 15.1.10
  • 14.1.0 – 14.1.5
  • 13.1.0 – 13.1.5

CVE-2023-46747 można wykorzystać tylko wtedy, gdy interfejs użytkownika zarządzania ruchem (TMUI), nazywany także narzędziem konfiguracyjnym, jest udostępniony w Internecie.

Z tego powodu ryzyko wykorzystania można tymczasowo zmniejszyć, ograniczając dostęp do narzędzia konfiguracyjnego tylko do zaufanych sieci lub urządzeń albo określonych zakresów adresów IP. Poradnik bezpieczeństwa F5 wyjaśnia, jak to zrobić.

„Sam portal [TMUI] nie powinien być w ogóle dostępny z publicznego Internetu. Łącznie z CVE-2023-46747 w ciągu ostatnich trzech lat w portalu TMUI wystąpiły trzy luki umożliwiające nieuwierzytelnione zdalne wykonanie kodu. Jeśli wymagany jest dostęp do portalu, upewnij się, że portal TMUI jest dostępny tylko z sieci wewnętrznej lub połączenia VPN” – dodali Hendrickson i Weber.

Wśród wymienionych luk znajduje się CVE-2020-5902, dla której zabezpieczenia zostały szybko ominięte.

Badacze firmy Praetorian powstrzymują się od udostępniania szczegółów na temat sposobu uruchomienia CVE-2023-46747 do czasu udostępnienia oficjalnej łatki.

POC

Całe demo z eksploitacji możecie zobaczyć na filmie znajdującym się na dole artykułu.

Dostępne poprawki

Do tej pory F5 Networks udostępnił poprawki dla dwóch luk w zabezpieczeniach wielofunkcyjnych urządzeń/modułów sieciowych BIG-IP, w tym luki umożliwiającej krytyczne obejście uwierzytelniania (CVE-2023-46747), mogącej prowadzić do nieuwierzytelnionego zdalnego wykonania kodu (RCE). Poprawki dostępne są w tym miejscu.

Administratorom zaleca się wdrożenie dostarczonych poprawek technicznych jako środka tymczasowego do czasu udostępnienia zaplanowanych wydań oprogramowania z poprawkami.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...