F5 แก้ไขช่องโหว่ระดับ Critical ใน F5 BIG-IP configuration utility ที่มีหมายเลข CVE-2023-46747 ทำให้ผู้โจมตีจากภายนอกสามารถเข้าถึง configuration utility เพื่อดำเนินการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน
ช่องโหว่นี้ได้รับคะแนน CVSS v3.1 ที่ 9.8 ซึ่งจัดว่าเป็น "ระดับ Critical" เนื่องจากสามารถโจมตีได้โดยไม่ต้องผ่านการยืนยันตัวตน และมีความซับซ้อนของวิธีการโจมตีต่ำ
"ช่องโหว่นี้อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน เข้าถึงระบบ BIG-IP ผ่าน management port หรือที่อยู่ IP เพื่อเรียกใช้คำสั่งที่เป็นอันตรายได้" อ้างอิงจากข้อมูลที่ F5 ระบุไว้ในประกาศด้านความปลอดภัย (https://my.f5.com/manage/s/article/K000137353)
ผู้โจมตีสามารถใช้ประโยชน์จากอุปกรณ์ Traffic Management User Interface (TMUI) ที่เชื่อมต่อกับอินเทอร์เน็ตเท่านั้น และไม่ได้ส่งผลต่อ data plane ในอุปกรณ์
อย่างไรก็ตามถึงแม้ TMUI จะถูกเปิดให้เข้าถึงเฉพาะเครือข่ายภายใน แต่หากผู้โจมตีสามารถโจมตีเพื่อเข้าถึงเครือข่ายได้ ก็สามารถใช้ประโยชน์จากช่องโหว่นี้ได้เช่นกัน
เวอร์ชัน BIG-IP ที่ได้รับผลกระทบมีดังนี้ :
- 17.x: 17.1.0
- 16.x: 16.1.0 – 16.1.4
- 15.x: 15.1.0 – 15.1.10
- 14.x: 14.1.0 – 14.1.5
- 13.x: 13.1.0 – 13.1.5
โดย CVE-2023-46747 ไม่ส่งผลกระทบกับผลิตภัณฑ์ BIG-IP Next, BIG-IQ Centralized Management, F5 Distributed Cloud Services, F5OS, NGINX และ Traffix SDC
เวอร์ชันของผลิตภัณฑ์ที่ไม่ได้รับการสนับสนุน และถึงช่วง EoL (end of life) ยังไม่ได้รับการประเมินสำหรับช่องโหว่ CVE-2023-46747 ดังนั้นจึงไม่อาจสรุปได้ว่ามีความเสี่ยง หรือไม่
แต่เนื่องจากความเสี่ยงที่จะไม่ได้รับการอัปเดตในการใช้เวอร์ชันเหล่านี้ F5 จึงแนะนำให้อัปเกรดเป็นเวอร์ชันที่ได้รับการสนับสนุนโดยเร็วที่สุด
Disclosure and fixing
ช่องโหว่นี้ถูกค้นพบโดย Thomas Hendrickson และ Michael Weber นักวิจัยด้านความปลอดภัยจาก Praetorian Security ซึ่งได้รายงานให้กับทาง F5 รับทราบเมื่อวันที่ 5 ตุลาคม 2023
Praetorian ให้ข้อมูลรายละเอียดทางเทคนิคเพิ่มเติมเกี่ยวกับช่องโหว่ CVE-2023-46747 ผ่านบทความบนบล็อก โดยนักวิจัยระบุว่าจะเปิดเผยรายละเอียดการโจมตีช่องโหว่ทั้งหมด เมื่อผู้ใช้งานส่วนใหญ่ได้ทำการอัปเดตแพตซ์แก้ไขช่องโหว่แล้ว
F5 ยืนยันว่าได้ทำการทดสอบช่องโหว่เรียบร้อยแล้วเมื่อวันที่ 12 ตุลาคม 2023 และได้ออกแพตซ์อัปเดตความปลอดภัยพร้อมกับคำแนะนำเมื่อวันที่ 26 ตุลาคม 2023
เวอร์ชันอัปเดตที่แนะนำ เพื่อแก้ไขช่องโหว่คือ:
- 7.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG
- 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG
- 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG
- 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG
- 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG
F5 ได้จัดเตรียมสคริปต์เพื่อช่วยเหลือผู้ดูแลระบบที่ยังไม่สามารถทำการอัปเดตได้ทันที เพื่อแก้ไขปัญหาในเบื้องต้น
สคริปต์นี้เหมาะสำหรับ BIG-IP เวอร์ชัน 14.1.0 และใหม่กว่าเท่านั้น นอกจากนี้ควรใช้ความระมัดระวังกับผู้ที่ใช้สิทธิ์การใช้งาน FIPS 140-2 Compliant Mode เนื่องจากสคริปต์นี้อาจทำให้ FIPS integrity check failures ได้
เพื่อลดผลกระทบ โดยใช้สคริปต์ที่ F5 จัดเตรียมไว้ ให้ดำเนินการตามขั้นตอนด้านล่าง:
1. ดาวน์โหลด และบันทึกสคริปต์ไปยังระบบ BIG-IP ที่ได้รับผลกระทบ
https://techdocs.f5.com/dam/f5/kb/global/solutions/k000137353_files/mitigation.txt
2. เปลี่ยนชื่อไฟล์ .txt เป็นนามสกุล .sh เช่น mitigation.sh
3. Log in เข้าสู่ command line บน BIG-IP ที่ได้รับผลกระทบด้วยสิทธิ์ root
4. ใช้เครื่องมือ chmod เพื่อทำให้สคริปต์สามารถเรียกใช้งานได้ ('chmod +x /root/mitigation.sh && touch /root/mitigation.sh')
5. เรียกใช้สคริปต์ด้วย '/root/mitigation.sh'
VIPRION, vCMP guests on VIPRION, และ BIG-IP tenants on VELOS ต้องรันสคริปต์แยกกันบนแต่ละ blade
เนื่องจากอุปกรณ์ F5 BIG-IP ถูกใช้โดยหน่วยงานรัฐบาล, บริษัทใน Fortune 500, ธนาคาร, ผู้ให้บริการบริการสื่อสาร และแบรนด์ผลิตภัณฑ์ที่มีชื่อเสียง F5 แนะนำให้รีบทำการอัปเดตแพตซ์ หรือใช้วิธีการแก้ไขปัญหาในเบื้องต้น เพื่อป้องกันอุปกรณ์เหล่านี้จากการถูกโจมตี
Praetorian ยังแจ้งเตือนอีกว่า Traffic Management User Interface (TMUI) ไม่ควรถูกเปิดให้เชื่อมต่อได้จากอินเทอร์เน็ต
You must be logged in to post a comment.