F5 BIG-IP是一款提供负载均衡、安全保护和性能优化的应用交付控制器。
近期,长亭科技监测到F5官方发布了新补丁修复了一处远程代码执行漏洞。
长亭应急团队经过分析后发现该漏洞可通过请求走私导致远程代码执行。考虑到F5设备在网络中的核心作用,建议及时修复漏洞。
漏洞成因
漏洞源于Apache httpd 和 AJP 协议处理请求的方式不一致,而F5定制的Apache httpd基于2.4.6的漏洞版本,导致在特定条件下可以绕过正常的请求处理流程。
由于 Apache httpd 在将请求转发到后端 AJP 服务器之前移除了 "Content-Length" 头,攻击者可以通过发送带有特定 "Content-Length" 和 "Transfer-Encoding" 头的请求,来控制后端服务器的请求处理流程。
看似影响较小的请求走私漏洞,在两个不同服务将认证责任相互转嫁时,可能会成为一个严重的问题。发送“前端”认为已经处理过认证的请求到“后端”服务,会导致出现一些出乎意料的后果。而这种不一致是导致此次漏洞产生的重要成因之一。
当发送到F5 BIG-IP TMUI模块的请求(例如登陆页面/tmui/login.jsp)中,包含一个类似值为 "xxx, chunked" 的 "Transfer-Encoding" 头,并且请求体内容满足特定内容时,漏洞会被触发。
成功利用这个漏洞的攻击者可以绕过身份验证,执行后台任意功能,而后可以再通过串联后台功能漏洞,控制并且接管服务器。
F5 BIG-IP <= 17.1.0
16.1.0 <= F5 BIG-IP <= 16.1.4
15.1.0 <= F5 BIG-IP <= 15.1.10
14.1.0 <= F5 BIG-IP <= 14.1.5
13.1.0 <= F5 BIG-IP <= 13.1.5
临时缓解方案
完全限制对 TMUI 门户的访问,这个门户网站允许管理员通过Web界面配置和管理F5的网络设备和服务,所以本身根本不应该从互联网上访问。包括这篇文章中描述的问题在内,过去三年中 TMUI 门户中有三个未经认证的远程代码执行漏洞。如果需要访问它,请确保 TMUI 门户只能从内部网络或 VPN 连接访问。
升级修复方案
官方已经推出了安全补丁。建议所有受影响的用户尽快访问官方网站(https://my.f5.com/manage/s/article/K000137353),其中提供了详细的修补方案和临时缓解措施,强烈建议按照官方建议安装热更新修补漏洞。
10月26日 互联网公开漏洞情报
10月27日 长亭应急响应实验室漏洞分析与复现
10月28日 长亭安全应急响应中心发布通告
参考资料:
[1].https://my.f5.com/manage/s/article/K000137353
全力进行产品升级
及时将风险提示预案发送给客户
检测业务是否收到此次漏洞影响
请联系长亭应急团队
7*24小时,守护您的安全
第一时间找到我们:
应急响应热线:4000-327-707
原文始发于微信公众号(长亭安全应急响应中心):【已复现】F5 BIG-IP 远程代码执行漏洞(CVE-2023-46747)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论