聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
CVE-2023-46747的CVSS v3.1 评分为9.8,评级为“严重”,可在无需认证的情况下用于复杂程度较低的攻击活动中。
F5 在安全公告中提到,“该漏洞或可导致具有对 BIG-IP 系统具有网络访问权限的攻击者通过管理端口和/或自有IP地址,执行任意系统命令。”威胁行动者金科利用将“流量管理用户接口 (TMUI)”暴露到互联网的设备,不影响数据数据层面。
然而,由于TMUI在内部通常是暴露情况,因此已经攻陷网络的攻击者也可利用该漏洞。受影响的BIG-IP版本如下:
-
17.x: 17.1.0
-
16.x: 16.1.0 – 16.1.4
-
15.x: 15.1.0 – 15.1.10
-
14.x: 14.1.0 – 14.1.5
-
13.x: 13.1.0 – 13.1.5
该漏洞并不影响 BIG-IP Next、BIG-IQ Centralized Mangements、F5 Distributed Cloud Services、F5OS、NGINX和Traffix SDC 产品。已达到生命周期的不受支持的产品版本尚未进行评估,因此受影响情况不明。鉴于使用这些设备存在风险,因此建议尽快将其升级至受支持版本。
漏洞披露和修复
该漏洞是由 Praetorian Security 公司的研究员 Thomas Hendrickson 和 Michael Weber 发现并在2023年10月5日报送的。
研究人员在博客文章中披露了漏洞详情,并承诺会在系统补丁发布后发布全部的利用详情。
F5 证实称在10月12日重现了该漏洞并在2023年10月6日发布的安全公告中发布了安全更新。修复了该漏洞的推荐更新版本如下:
-
17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG
-
16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG
-
15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG
-
14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG
-
13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG
F5 公司还在公告中发布了一个脚本,帮助无法应用高可用安全更新的管理员缓解该漏洞。应该注意的是,该脚本仅适用于 BIG-IP 版本14.1.0及后续版本。另外,注意配备 FIPS 140-2 合规模式许可证的设备,因为该缓解脚本可导致FIPS 完整性检查失败。
要应用该缓解脚本,应遵循如下步骤:
1、下载并将该脚本保存至受影响的 BIG-IP 系统。
2、将 .txt 文件更名为含有 .sh 扩展的名称,如 “mitigation.sh”。
3、以 root 用户身份登录到受影响 BIG-IP 系统的命令行。
4、使用 chmod 工具使该脚本是可执行的 ('chmod +x /root/mitigation.sh && touch /root/mitigation.sh')。
5、以 '/root/mitigation.sh' 执行该脚本。
VIPRION、VIPRION 上的vCMP guest 以及 VELOS 上的 BIG-IP 租户必须在每个 blade(扩展模块)上分别运行该脚本。如果管理IP地址未被分配到每个 blade 上,则需连接到序列面板以运行。
由于F5 BIG-IP 设备用于政府、财富500强企业、银行、服务提供商以及大型消费者品牌中,因此强烈建议用户应用任何可用修复方案或缓解措施,阻止设备遭利用。
研究人员也提醒称,流量管理用户接口不应暴露到互联网中。遗憾的是,从以往的情况来看,它曾被暴露,导致攻击者利用漏洞擦除设备并获得对网络的初始访问权限。
https://www.bleepingcomputer.com/news/security/f5-fixes-big-ip-auth-bypass-allowing-remote-code-execution-attacks/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):F5修复可导致RCE的 BIG-IP 认证绕过漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论