Krytyczna luka w zabezpieczeniach F5 Big-IP. Jest publiczny POC

Nie tak dawno pisaliśmy o krytycznej podatności w CISCO, a w międzyczasie pojawiła się nowa luka w zabezpieczeniach urządzeń sieciowych BIG-IP u innego producenta – F5 Networks.

Urządzenia BIG-IP firmy F5 są używane przez rządy, dostawców usług internetowych, telekomunikację, dostawców usług w chmurze i inne duże przedsiębiorstwa na całym świecie do zarządzania i kontrolowania ruchu sieciowego oraz aplikacji.

Szczegóły CVE-2023-46747

CVE-2023-46747 to błąd odkryty i zgłoszony przez Thomasa Hendricksona i Michaela Webera z Praetorian Security. Dotyczy możliwości wywołania specjalnego polecenia w żądaniu w protokole Apache JServ Protocol (AJP) używanym przez podatne urządzenia.

„Luka może pozwolić nieuwierzytelnionemu atakującemu z dostępem sieciowym do systemu BIG-IP poprzez port zarządzania i/lub własne adresy IP na wykonanie dowolnych poleceń systemowych” – potwierdziła firma F5.

Błąd dotyczy następujących wersji wszystkich modułów BIG-IP:

• 17.1.0
• 16.1.0 – 16.1.4
• 15.1.0 – 15.1.10
• 14.1.0 – 14.1.5
• 13.1.0 – 13.1.5

CVE-2023-46747 można wykorzystać tylko wtedy, gdy interfejs użytkownika zarządzania ruchem (TMUI), nazywany także narzędziem konfiguracyjnym, jest udostępniony w Internecie.

Z tego powodu ryzyko wykorzystania można tymczasowo zmniejszyć, ograniczając dostęp do narzędzia konfiguracyjnego tylko do zaufanych sieci lub urządzeń albo określonych zakresów adresów IP. Poradnik bezpieczeństwa F5 wyjaśnia, jak to zrobić.

„Sam portal [TMUI] nie powinien być w ogóle dostępny z publicznego Internetu. Łącznie z CVE-2023-46747 w ciągu ostatnich trzech lat w portalu TMUI wystąpiły trzy luki umożliwiające nieuwierzytelnione zdalne wykonanie kodu. Jeśli wymagany jest dostęp do portalu, upewnij się, że portal TMUI jest dostępny tylko z sieci wewnętrznej lub połączenia VPN” – dodali Hendrickson i Weber.

Wśród wymienionych luk znajduje się CVE-2020-5902, dla której zabezpieczenia zostały szybko ominięte.

Badacze firmy Praetorian powstrzymują się od udostępniania szczegółów na temat sposobu uruchomienia CVE-2023-46747 do czasu udostępnienia oficjalnej łatki.

POC

Całe demo z eksploitacji możecie zobaczyć na filmie znajdującym się na dole artykułu.

Dostępne poprawki

Do tej pory F5 Networks udostępnił poprawki dla dwóch luk w zabezpieczeniach wielofunkcyjnych urządzeń/modułów sieciowych BIG-IP, w tym luki umożliwiającej krytyczne obejście uwierzytelniania (CVE-2023-46747), mogącej prowadzić do nieuwierzytelnionego zdalnego wykonania kodu (RCE). Poprawki dostępne są w tym miejscu.

Administratorom zaleca się wdrożenie dostarczonych poprawek technicznych jako środka tymczasowego do czasu udostępnienia zaplanowanych wydań oprogramowania z poprawkami.