Критическая уязвимость в утилите настройки F5 BIG-IP (CVE-2023-46747), позволяет удаленному злоумышленнику выполнить произвольный код без аутентификации. Проблема связана с UI Traffic Management и получила 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS.
Подчеркивается, что злоумышленники могут атаковать только те устройства, чей UI Traffic Management доступен из интернета, и проблема не затрагивает плоскость данных (data plane).
Однако, поскольку интерфейс Traffic Management обычно открыт для внутреннего доступа, злоумышленник, уже скомпрометировавший сеть компании-жертвы, может воспользоваться этим багом.
Уязвимость не влияет на такие продукты как BIG-IP Next, BIG-IQ Centralized Management, F5 Distributed Cloud Services, F5OS, NGINX и Traffix SDC, но затрагивает следующие версии BIG-IP:
• 17.x: 17.1.0 (исправлено в 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG);
• 16.x: 16.1.0 – 16.1.4 (исправлено в 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG);
• 15.x: 15.1.0 – 15.1.10 (исправлено в 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG);
• 14.x: 14.1.0 – 14.1.5 (исправлено в 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG);
• 13.x: 13.1.0 – 13.1.5 (исправлено 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG).
Также представители F5 опубликовали специальный скрипт, который должен помочь устранить проблему в том случае, если пока нет возможности установить обновления. Следует отметить, что скрипт подходит только для BIG-IP версий 14.1.0 и выше. Кроме того, в компании рекомендуют соблюдать осторожность в работе со скриптом в случае с лицензией FIPS 140-2 Compliant Mode, поскольку скрипт может привести к сбоям проверки целостности FIPS.
Проблема CVE-2023-46747 была обнаружена экспертами компании Praetorian Security, которые и сообщили о баге разработчикам F5. В блоге компании исследователи раскрывают некоторую техническую информацию о проблеме и обещают опубликовать больше подробностей, когда уязвимость будет исправлена в большинстве сетей.
Подчеркивается, что злоумышленники могут атаковать только те устройства, чей UI Traffic Management доступен из интернета, и проблема не затрагивает плоскость данных (data plane).
Однако, поскольку интерфейс Traffic Management обычно открыт для внутреннего доступа, злоумышленник, уже скомпрометировавший сеть компании-жертвы, может воспользоваться этим багом.
Уязвимость не влияет на такие продукты как BIG-IP Next, BIG-IQ Centralized Management, F5 Distributed Cloud Services, F5OS, NGINX и Traffix SDC, но затрагивает следующие версии BIG-IP:
• 17.x: 17.1.0 (исправлено в 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG);
• 16.x: 16.1.0 – 16.1.4 (исправлено в 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG);
• 15.x: 15.1.0 – 15.1.10 (исправлено в 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG);
• 14.x: 14.1.0 – 14.1.5 (исправлено в 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG);
• 13.x: 13.1.0 – 13.1.5 (исправлено 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG).
Также представители F5 опубликовали специальный скрипт, который должен помочь устранить проблему в том случае, если пока нет возможности установить обновления. Следует отметить, что скрипт подходит только для BIG-IP версий 14.1.0 и выше. Кроме того, в компании рекомендуют соблюдать осторожность в работе со скриптом в случае с лицензией FIPS 140-2 Compliant Mode, поскольку скрипт может привести к сбоям проверки целостности FIPS.
Проблема CVE-2023-46747 была обнаружена экспертами компании Praetorian Security, которые и сообщили о баге разработчикам F5. В блоге компании исследователи раскрывают некоторую техническую информацию о проблеме и обещают опубликовать больше подробностей, когда уязвимость будет исправлена в большинстве сетей.
