Haavoittuvuus24/2023CVSS 9.8CVE-2023-46747 (Ulkoinen linkki)
F5 on julkaissut päivitykset kahteen haavoittuvuuteen CVE-2023-46747 ja CVE-2023-46748, joiden avulla hyökkääjä voi suorittaa etänä komentoja järjestelmässä. Toinen haavoittuvuuksista on luokiteltu kriittiseksi. F5 suosittelee haavoittuvien järjestelmien päivittämistä.
F5 BIG-IP tuotteissa on löydetty kaksi haavoittuvuutta, joista toinen on luokiteltu kriittiseksi. Haavoittuvuuksien avulla hyökkääjä voi ilman tunnistautumista suorittaa haavoittuvassa järjestelmässä komentoja etänä. Haavoittuvuudet koskevat useita eri F5 BIG-IP versioita. F5 on julkaissut korjaavat päivitykset haavoittuvuuksiin sekä rajoituskeinoja, joilla toisen haavoittuvuuden hyväksikäyttöä voidaan pyrkiä estämään. Julkaistuja haavoittuvuuksia on käytetty hyväksi ja F5 antaa tiedotteessaan ohjeita haavoittuvuuksien hyväksikäytön selvittämiseen. Haavoittuvuuksien hyväksikäyttöön on myös julkaistu hyväksikäytön mahdollistava koodi.
Haavoittuvuudet koskevat organisaatioita, jotka käyttävät kyseistä tuotetta. Koska haavoittuvuuksia on jo hyväksikäytetty, on päivittäminen erityisen tärkeää. Kyberturvallisuuskeskus ottaa mielellään vastaan ilmoituksia, mikäli havaitsette tietoturvapoikkeamia kyseisiin haavoittuvuuksiin liittyen.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ongelman rajoittaminen
Haavoittuvuuden kohde
Haavoittuvat BIG IP versiot:
- 17.1.0 - 17.1.1
- 16.1.0 - 16.1.4
- 15.1.0 - 15.1.10
- 14.1.0 - 14.1.5
- 13.1.0 - 13.1.5
Mistä on kysymys?
Ylläpitäjiä suositellaan päivittämään järjestelmä versioihin joissa haavoittuvuudet on korjattu:
- 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG3
- 17.1.1 + Hotfix-BIGIP-17.1.1.0.2.6-ENG3
- 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG3
- 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG3
- 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG3
- 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG3
F5 on myös julkaissut rajoituskeinoja heidän tiedotteessaan (ulkoinen linkki) (Ulkoinen linkki), joilla haavoittuvuuden CVE-2023-46747 hyväksikäyttöä voidaan pyrkiä estämään.
Haavoittuvuuksien hyväksikäytöstä voi nähdä jälkiä /var/log/tomcat/catalina.out lokitiedostossa. Mikäli lokitiedostosta löytyy seuraava merkintä, on hyväksikäyttöä todennäköisesti tapahtunut:
{...}
java.sql.SQLException: Column not found: 0.
{...)
sh: no job control in this shell
sh-4.2$ <EXECUTED SHELL COMMAND>
sh-4.2$ exit.
Lisätietoja hyväksikäytön selvittämiseen löytyy F5 julkaisemasta tiedotteesta (ulkoinen linkki) (Ulkoinen linkki).
Mitä voin tehdä?
F5 julkaisi molemmista havoittuvuuksista omat tiedotteensa: CVE-2023-46747 (ulkoinen linkki) (Ulkoinen linkki) ja CVE-2023-46748 (ulkoinen linkki) (Ulkoinen linkki).