top of page
Foto do escritorCyber Security Brazil
27 de out. de 20232 min para ler

URGENTE: Vulnerabilidade em BIG-IP permite execução remota de código



A F5 emitiu um alerta a todos os seus clientes sobre uma vulnerabilidade crítica de segurança que afeta o BIG-IP e que pode resultar na execução remota de código não autenticado.


O problema, enraizado no componente do utilitário de configuração, recebeu o identificador CVE CVE-2023-46747 e possui uma pontuação CVSS de 9,8 de 10.


“Esta vulnerabilidade pode permitir que um invasor não autenticado com acesso de rede ao sistema BIG-IP através da porta de gerenciamento e/ou endereços IP próprios execute comandos arbitrários do sistema”, disse F5 em um comunicado divulgado na quinta-feira. "Não há exposição ao plano de dados; este é apenas um problema do plano de controle."


As seguintes versões do BIG-IP foram consideradas vulneráveis -


  • 17.1.0 (Fixed in 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)

  • 16.1.0 - 16.1.4 (Fixed in 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)

  • 15.1.0 - 15.1.10 (Fixed in 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)

  • 14.1.0 - 14.1.5 (Fixed in 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)

  • 13.1.0 - 13.1.5 (Fixed in 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG)


Como mitigação, a F5 também disponibilizou um shell script para usuários do BIG-IP versões 14.1.0 e posteriores. “Este script não deve ser usado em nenhuma versão do BIG-IP anterior a 14.1.0 ou impedirá a inicialização do utilitário de configuração”, alertou a empresa.


Outras soluções temporárias disponíveis para usuários estão abaixo -



Michael Weber e Thomas Hendrickson da Praetorian foram creditados por descobrir e relatar a vulnerabilidade em 4 de outubro de 2023.


Em um relatório técnico feito pela Praetorian, descreveu a CVE-2023-46747 como um problema de desvio de autenticação que pode levar ao comprometimento total do sistema F5 ao executar comandos arbitrários como root no sistema de destino, observando que está “intimamente relacionado com a CVE-2022-26377."


Praetorian também recomenda que os usuários restrinjam o acesso à Interface do Usuário de Gerenciamento de Tráfego (TMUI) da Internet. É importante notar que a CVE-2023-46747 é a terceira falha de execução remota de código não autenticada descoberta no TMUI depois da CVE-2020-5902 e CVE-2022-1388.


“Um bug de contrabando de solicitações de impacto aparentemente baixo pode se tornar um problema sério quando dois serviços diferentes transferem responsabilidades de autenticação um para o outro”, disseram os pesquisadores. "Enviar solicitações para o serviço de 'backend' que assume a autenticação gerenciada pelo 'frontend' pode levar a algum comportamento interessante."


Via - THN

7 visualizações0 comentário

Comments

bottom of page