A F5 alertou seus clientes sobre uma vulnerabilidade crítica de segurança que afeta o BIG-IP e que pode resultar em execução remota de código não autenticado.
O problema, originado no componente de utilidade de configuração, recebeu o identificador CVE
CVE-2023-46747
e tem uma pontuação CVSS de 9.8 de um máximo de 10.
"Essa vulnerabilidade pode permitir que um invasor não autenticado com acesso à rede ao sistema BIG-IP por meio da porta de gerenciamento e/ou endereços IP próprios execute comandos de sistema arbitrários," disse a F5 em um comunicado divulgado na quinta-feira.
"Não há exposição do plano de dados; este é apenas um problema do plano de controle."
As seguintes versões do BIG-IP foram encontradas vulneráveis:
17.1.0 (Corrigido em 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)
16.1.0 - 16.1.4 (Corrigido em 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)
15.1.0 - 15.1.10 (Corrigido em 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)
14.1.0 - 14.1.5 (Corrigido em 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)
13.1.0 - 13.1.5 (Corrigido em 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG)
Como medidas de mitigação, a F5 também disponibilizou um script shell para usuários das versões BIG-IP 14.1.0 e posteriores.
"Este script não deve ser usado em nenhuma versão BIG-IP anterior a 14.1.0 ou impedirá que a utilidade de Configuração seja iniciada", alertou a empresa.
Outras soluções temporárias disponíveis para os usuários são:
Bloquear o acesso à utilidade de configuração através dos endereços IP próprios
Bloquear o acesso à utilidade de configuração através da interface de gerenciamento
Michael Weber e Thomas Hendrickson da Praetorian foram creditados por descobrir e relatar a vulnerabilidade em 4 de outubro de 2023.
A empresa de segurança cibernética, em um relatório técnico próprio, descreveu
CVE-2023-46747
como um problema de bypass de autenticação que pode levar a uma comprometimento total do sistema F5 executando comandos arbitrários como root no sistema alvo, notando que é "estreitamente relacionado ao
CVE-2022-26377
".
A Praetorian também recomenda que os usuários restrinjam o acesso à Interface de Usuário de Gerenciamento de Tráfego (TMUI) a partir da internet.
Vale ressaltar que o
CVE-2023-46747
é a terceira vulnerabilidade de execução remota de código não autenticada descoberta no TMUI após o
CVE-2020-5902
e o
CVE-2022-1388
.
"Uma aparentemente pequena falha de contrabando de solicitações pode se tornar um problema sério quando dois serviços diferentes descarregam responsabilidades de autenticação uns nos outros," disseram os pesquisadores.
"Enviar solicitações para o serviço 'backend' que supõe que o 'frontend' lidou com a autenticação pode levar a alguns comportamentos interessantes."
Gostou deste artigo? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que postamos.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...