skip to Main Content
F5 Remote Code Execution Açığı CVE-2023-46747

CVE-2023-46747 Detaylar

F5 tarafından 26 Ekim 2023 tarihinde kritik seviyede remote code execution açığı yayınlandı.

Management IP adresi veya Self IP adreslerine network erişimi olan bir saldırgan, şu an için açıklanmamış bir istek ile remote code execution(uzaktan komut yürütme) açığından faydanalarak auhtentication'ı(kimlik doğrulamayı) atlayabilir.

Açık hakkında bilinmesi gerekenler;

  • Açığın ilk yayınlandığı tarih itibariyle açığın hangi servislerden kaynaklandığı açıklansa da, nasıl faydanalanacağı tam olarak belirtilmedi. İleri tarihte açıktan faydalanma kodlarının yayınlanancağı, açığı bildiren firma tarafından belirtildi.
  • Açıktan nasıl faydalanabildiği biliniyor. İnternette açıktan faydalanma kodları bulunabiliyor.
  • Açıktan data plane etkilenmiyor, control plane etkileniyor.
  • Management ve self IP adresine network erişimi olan client'lar açıktan faydanalabiliyor.
  • Güncelleme yapmadan geçici çözüm için script bulunuyor.
  • Tam çözüm için, F5 tarafından Hotfix versiyonlar yayınlandı.

Etkilenen/Etkilenmeyen Ürünler

Etkilenen Ürünler

Ürün Etkilenen Version Fix'lenen Version Seviye CVSSv3 Skoru Etkilenen Bileşen
BIG-IP (tüm modüller) 17.x 17.1.0 - 17.1.1 17.1.1 + Hotfix-BIGIP-17.1.1.0.2.6-ENG
17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG
Kritik 9.8 Configuration utility
16.x 16.1.0 - 16.1.4 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG
15.x 15.1.0 - 15.1.10 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2
14.x 14.1.0 - 14.1.5 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG
13.x 13.1.0 - 13.1.5 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG

Etkilenmeyen Ürünler
BIG-IP Next, BIG-IQ, F5 Distributed Cloud Services, F5OS, NGINX, Traffic SDC

Mitigation (Geçici Çözüm)

  1. Script içeriğini F5 websitesindeki linkten indirin.
  2. İndirdiğiniz dosyanın formatını .txt yerine .sh olarak değiştirip /root dizini içerisine atın. Veya dosya içeriğini kopyayalıp, komut satırında /root dizini içerisine mitigation-1.0.sh dosyası oluşturarak içine kaydedin.
  3. Komut satırına root kullanıcısı ile giriş yapın.
  4. chmod komutu ile script dosyasını çalıştırabilir hale getirin.
    chmod +x /root/mitigation-1.0.sh && touch /root/mitigation-1.0.sh
  5. Script dosyasını çalıştırın.
    /root/mitigation-1.0.sh

Bu adımların data trafiği üzerinde bir etkisi yoktur.

Management Erişim Kısıtı

F5 ürünlerinde control plane'de yayınlanan açıklardan, genellikle management ve self IP adreslerine erişibilen saldırganlar faydanalanabildiğinden bu IP adreslerine erişimi izole etmek gereklidir.

  • Management IP adresine erişimi kısıtlayın.
    • Firewall kuralları ile management IP adresi için belirli source IP adreslerine izin verin. (Cihaz yöneticilleri, izleme tool'ları, vb.)
    • httpd konfigürasyonunda allow list tanımlayın.
      modify /sys httpd allow replace-all-with { 172.22.22.0/27 192.168.1.0150 }
  • Self IP adreslerine erişimi kısıtlayın.
    • Self IP adreslerinde Port Lockdown seçeneğini, ihtiyaca göre sınırlandırın. Management erişim ihtiyacı yoksa seçeneği Allow None veya Allow Custom olarak değiştirin. Sync için kullanılan self IP adresinde TCP 4353, failover için kullanılan self IP adresinde UDP 1026 portunun açık olması gereklidir.
    • Firewall kuralları ile self IP adreslerine erişimi kısıtlayın.

This Post Has 0 Comments

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

WAF Seçimi ve Devreye Alım Yöntemleri

20 Kasım’da gerçekleştirdiğimiz “WAF Seçimi ve Devreye Alım Yöntemleri” başlıklı…

Devamını oku
Back To Top