F5 Networks ha emesso un avviso di sicurezza critico, avvisare i clienti di una grave vulnerabilità che colpisce BIG-IP.
Questa vulnerabilità, identificato come CVE-2023-46747, presenta un rischio significativo di non autenticato esecuzione di codice remoto e porta un punteggio CVSS di 9.8 su 10. Il problema risiede nel componente dell'utilità di configurazione e consente a un utente malintenzionato, con accesso in rete al sistema BIG-IP attraverso la porta di gestione e/o indirizzi IP personali, per eseguire comandi di sistema arbitrari. È importante sottolineare che, questo è classificato come un problema del piano di controllo senza esposizione al piano dati.
La vulnerabilità è stata scoperta e segnalata da Michael Weber e Thomas Hendrickson di Praetorian in ottobre 4, 2023. Praetorian descrive CVE-2023-46747 come un problema di bypass dell'autenticazione, capace di portare ad una compromissione totale del sistema F5 attraverso l'esecuzione arbitraria di comandi come root.
Va detto che questo difetto è strettamente correlato a CVE-2022-26377. Praetorian suggerisce di limitare l'accesso all'interfaccia utente di gestione del traffico (TMUI) da Internet, sottolineando che questo è il terzo difetto di esecuzione di codice remoto non autenticato scoperto in TMUI dopo CVE-2020-5902 e CVE-2022-1388.
CVE-2023-46747: Versioni interessate e correzioni
Le seguenti versioni di BIG-IP risultano vulnerabili a causa di CVE-2023-46747:
- 17.1.0 (Fisso 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)
- 16.1.0 – 16.1.4 (Fisso 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)
- 15.1.0 – 15.1.10 (Fisso 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)
- 14.1.0 – 14.1.5 (Fisso 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)
- 13.1.0 – 13.1.5 (Fisso 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG)
Mitigazioni e soluzioni alternative
F5 consiglia di utilizzare uno script di shell fornito per gli utenti delle versioni BIG-IP 14.1.0 e più tardi. Tuttavia, si consiglia cautela, come utilizzare questo script su versioni precedenti a 14.1.0 potrebbe impedire l'avvio dell'utilità di configurazione. Altre soluzioni temporanee includono il blocco dell'accesso all'utilità di configurazione tramite gli indirizzi IP personali e l'interfaccia di gestione.
Raccomandazioni urgenti
Data la gravità della vulnerabilità CVE-2023-46747 e il potenziale di esecuzione di codice remoto non autenticato, si consiglia vivamente agli utenti di applicare le correzioni fornite, utilizzare mitigazioni, e seguire le raccomandazioni di F5 per proteggere le proprie implementazioni BIG-IP. La rapida adozione di queste misure è fondamentale per prevenire accessi non autorizzati e potenziali compromissioni del sistema.