F5 emite alerta: Vulnerabilidade BIG-IP permite execução remota de código
27 de Outubro de 2023

A F5 alertou seus clientes sobre uma vulnerabilidade crítica de segurança que afeta o BIG-IP e que pode resultar em execução remota de código não autenticado.
O problema, originado no componente de utilidade de configuração, recebeu o identificador CVE CVE-2023-46747 e tem uma pontuação CVSS de 9.8 de um máximo de 10.
"Essa vulnerabilidade pode permitir que um invasor não autenticado com acesso à rede ao sistema BIG-IP por meio da porta de gerenciamento e/ou endereços IP próprios execute comandos de sistema arbitrários," disse a F5 em um comunicado divulgado na quinta-feira.

"Não há exposição do plano de dados; este é apenas um problema do plano de controle."

As seguintes versões do BIG-IP foram encontradas vulneráveis:

17.1.0 (Corrigido em 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)
16.1.0 - 16.1.4 (Corrigido em 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)
15.1.0 - 15.1.10 (Corrigido em 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)
14.1.0 - 14.1.5 (Corrigido em 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)
13.1.0 - 13.1.5 (Corrigido em 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG)

Como medidas de mitigação, a F5 também disponibilizou um script shell para usuários das versões BIG-IP 14.1.0 e posteriores.

"Este script não deve ser usado em nenhuma versão BIG-IP anterior a 14.1.0 ou impedirá que a utilidade de Configuração seja iniciada", alertou a empresa.
Outras soluções temporárias disponíveis para os usuários são:

Bloquear o acesso à utilidade de configuração através dos endereços IP próprios
Bloquear o acesso à utilidade de configuração através da interface de gerenciamento

Michael Weber e Thomas Hendrickson da Praetorian foram creditados por descobrir e relatar a vulnerabilidade em 4 de outubro de 2023.

A empresa de segurança cibernética, em um relatório técnico próprio, descreveu CVE-2023-46747 como um problema de bypass de autenticação que pode levar a uma comprometimento total do sistema F5 executando comandos arbitrários como root no sistema alvo, notando que é "estreitamente relacionado ao CVE-2022-26377 ".
A Praetorian também recomenda que os usuários restrinjam o acesso à Interface de Usuário de Gerenciamento de Tráfego (TMUI) a partir da internet.

Vale ressaltar que o CVE-2023-46747 é a terceira vulnerabilidade de execução remota de código não autenticada descoberta no TMUI após o CVE-2020-5902 e o CVE-2022-1388 .
"Uma aparentemente pequena falha de contrabando de solicitações pode se tornar um problema sério quando dois serviços diferentes descarregam responsabilidades de autenticação uns nos outros," disseram os pesquisadores.

"Enviar solicitações para o serviço 'backend' que supõe que o 'frontend' lidou com a autenticação pode levar a alguns comportamentos interessantes."

Gostou deste artigo? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que postamos.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...