F5 BIG-IP 配置实用程序中存在一个严重漏洞(编号为 CVE-2023-46747),允许远程访问配置实用程序的攻击者执行未经身份验证的远程代码执行。
该漏洞的 CVSS v3.1 评分为 9.8,评级为“严重”,因为无需身份验证即可在低复杂性攻击中利用该漏洞。
F5 的安全公告中写道:“此漏洞可能允许未经身份验证的攻击者通过管理端口和/或自身 IP 地址对 BIG-IP 系统进行网络访问,从而执行任意系统命令。 ”
威胁参与者只能利用具有暴露于互联网的流量管理用户界面 (TMUI) 的设备,并且不会影响数据平面。
然而,由于 TMUI 通常在内部暴露,已经危害网络的威胁参与者可能会利用该缺陷。
受影响的 BIG-IP 版本如下:
- 17.x:17.1.0
- 16.x:16.1.0 – 16.1.4
- 15.x:15.1.0 – 15.1.10
- 14.x:14.1.0 – 14.1.5
- 13.x:13.1.0 – 13.1.5
CVE-2023-46747 不影响 BIG-IP Next、BIG-IQ 集中管理、F5 分布式云服务、F5OS、NGINX 和 Traffix SDC 产品。
已达到 EoL(生命周期终止)的不受支持的产品版本尚未根据 CVE-2023-46747 进行评估,因此它们可能会或可能不会容易受到攻击。
由于使用这些版本存在风险,建议尽快升级到受支持的版本。
披露和修复
Praetorian 安全研究人员 Thomas Hendrickson 和 Michael Weber 发现了该问题,并于 2023 年 10 月 5 日向供应商报告了该问题。
Praetorian通过博客文章分享了有关 CVE-2023-46747 的更多技术细节,研究人员承诺一旦系统修补完成,将披露完整的利用细节。
F5 确认已于 10 月 12 日重现该漏洞,并于 2023 年 10 月 26 日随公告一起发布了安全更新。
针对该漏洞的推荐更新版本为:
- 17.1.0.3 + 修补程序-BIGIP-17.1.0.3.0.75.4-ENG
- 16.1.4.1 + 修补程序-BIGIP-16.1.4.1.0.50.5-ENG
- 15.1.10.2 + 修补程序-BIGIP-15.1.10.2.0.44.2-ENG
- 14.1.5.6 + 修补程序-BIGIP-14.1.5.6.0.10.6-ENG
- 13.1.5.1 + 修补程序-BIGIP-13.1.5.1.0.20.2-ENG
F5 还在通报中提供了一个脚本,以帮助管理员无法应用可用的安全更新来缓解问题。
需要注意的是,该脚本仅适用于 BIG-IP 14.1.0 及更高版本。此外,建议拥有 FIPS 140-2 兼容模式许可证的用户务必小心,因为缓解脚本可能会导致 FIPS 完整性检查失败。
要使用 F5 提供的脚本应用缓解措施,请按照以下步骤操作:
- 下载 脚本并将其保存到受影响的 BIG-IP 系统
- 将 .txt 文件重命名为 .sh 扩展名,例如“mitigation.sh”。
- 以 root 用户身份登录受影响的 BIG-IP 系统的命令行
- 使用 chmod 实用程序使脚本可执行(’chmod +x /root/mitigation.sh && touch /root/mitigation.sh’)
- 使用“/root/mitigation.sh”执行脚本
VIPRION、VIPRION 上的 vCMP 来宾以及 VELOS 上的 BIG-IP 租户必须在每个刀片上单独运行该脚本。
如果尚未为每个刀片分配管理IP 地址,您可以连接到串行控制台来运行它。
由于 F5 BIG-IP 设备由政府、财富 500 强公司、银行、服务提供商和主要消费品牌使用,因此强烈建议应用任何可用的修复或缓解措施以防止这些设备被利用。
Praetorian 还警告说,流量管理用户界面一开始就不应该暴露在互联网上。
不幸的是,正如过去所示,F5 BIG-IP TMUI 过去曾被曝光,允许攻击者利用漏洞擦除 设备 并 获得对网络的初始访问权限。
评论