Vá ngay! Lỗ hổng thực thi mã từ xa không được xác thực của tiện ích cấu hình BIG-IP - CVE-2023-46747

Công ty công nghệ F5 đã cảnh báo khách hàng về một lỗ hổng xác thực quan trọng có thể ảnh hưởng đến dòng sản phẩm BIG-IP của họ, có thể dẫn đến việc thực hiện mã từ xa không xác thực.

F5 cung cấp dịch vụ tập trung vào bảo mật, đáng tin cậy và hiệu suất. BIG-IP là một bộ sưu tập các nền tảng phần cứng và giải pháp phần mềm cung cấp một loạt dịch vụ, bao gồm cân bằng tải, tường lửa ứng dụng web, kiểm soát truy cập và bảo vệ khỏi tấn công DDoS.

Hai nhà nghiên cứu bảo mật đã phát hiện một lỗ hổng quan trọng trong tiện ích cấu hình của một số phiên bản của BIG-IP:

• 17.1.0 (Đã sửa trong 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)
• 16.1.0 - 16.1.4 (Đã sửa trong 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)
• 15.1.0 - 15.1.10 (Đã sửa trong 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)
• 14.1.0 - 14.1.5 (Đã sửa trong 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)
• 13.1.0 - 13.1.5 (Đã sửa trong 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG)

Trong một bài viết, F5 nói:

"Lỗ hổng này có thể cho phép một kẻ tấn công không xác thực có quyền truy cập mạng đối với hệ thống BIG-IP thông qua cổng quản lý và/hoặc địa chỉ IP riêng để thực hiện các lệnh hệ thống tùy ý."

F5 cũng cho biết khách hàng có thể sử dụng iHealth để kiểm tra xem họ có bị lỗ hổng hay không.

Cơ sở dữ liệu Các lỗ hổng và Rủi ro chung (CVE) liệt kê các lỗ hổng bảo mật máy tính đã được tiết lộ công khai. CVE này được liệt kê là:

CVE-2023-46747 (Điểm CVSS 9.8 trên 10): Yêu cầu không được tiết lộ có thể bypass xác thực tiện ích cấu hình, cho phép một kẻ tấn công có quyền truy cập mạng đối với hệ thống BIG-IP thông qua cổng quản lý và/hoặc địa chỉ IP riêng để thực hiện các lệnh hệ thống tùy ý. Lưu ý: Các phiên bản phần mềm đã đạt đến Độ kỹ thuật Hỗ trợ Kỹ thuật (EoTS) không được đánh giá.

BIG-IP định nghĩa một địa chỉ IP riêng là một địa chỉ IP trên hệ thống BIG-IP mà bạn gán cho một mạng cục bộ ảo (VLAN) để truy cập các máy chủ trong VLAN đó. Một khách hàng thường gán địa chỉ IP riêng cho một VLAN khi họ ban đầu chạy tiện ích Cài đặt trên một hệ thống BIG-IP.

Bỏ qua xác thực xảy ra khi ai đó tuyên bố có một danh tính nhất định, nhưng phần mềm không chứng minh hoặc không chứng minh đủ rằng tuyên bố đó là chính xác.

Thực hiện mã từ xa (RCE) là khi một kẻ tấn công truy cập thiết bị tính toán mục tiêu và thực hiện các thay đổi từ xa, bất kể thiết bị đó ở đâu.

Nói chung, nếu Giao diện Người dùng Quản lý Lưu lượng BIG-IP được tiết lộ ra internet, thì hệ thống bị ảnh hưởng. Ước tính có hơn 6.000 phiên bản giao diện ngoại trực tuyến của ứng dụng.

Các nhà nghiên cứu nói rằng việc tận dụng lỗ hổng này có thể dẫn đến việc tấn công hoàn toàn vào hệ thống F5 bằng cách thực hiện các lệnh tùy ý như người dùng gốc trên hệ thống mục tiêu.

"Một lỗi bug về gian lận yêu cầu có vẻ như không ảnh hưởng lớn có thể trở thành một vấn đề nghiêm trọng khi hai dịch vụ khác nhau chịu trách nhiệm xác thực lên nhau."

Hành động: Nếu bạn đang chạy một phiên bản có lỗ hổng, F5 có danh sách cập nhật tại đây.

Nếu bạn không thể cài đặt phiên bản đã sửa lỗi vì bất kỳ lý do nào, thì F5 khuyên bạn có thể chặn quyền truy cập tiện ích Cấu hình thông qua địa chỉ IP riêng hoặc chặn quyền truy cập tiện ích Cấu hình thông qua giao diện quản lý.