CVE-2023-46747 Detaylar
F5 tarafından 26 Ekim 2023 tarihinde kritik seviyede remote code execution açığı yayınlandı.
Management IP adresi veya Self IP adreslerine network erişimi olan bir saldırgan, şu an için açıklanmamış bir istek ile remote code execution(uzaktan komut yürütme) açığından faydanalarak auhtentication'ı(kimlik doğrulamayı) atlayabilir.
Açık hakkında bilinmesi gerekenler;
Açığın ilk yayınlandığı tarih itibariyle açığın hangi servislerden kaynaklandığı açıklansa da, nasıl faydanalanacağı tam olarak belirtilmedi. İleri tarihte açıktan faydalanma kodlarının yayınlanancağı, açığı bildiren firma tarafından belirtildi.- Açıktan nasıl faydalanabildiği biliniyor. İnternette açıktan faydalanma kodları bulunabiliyor.
- Açıktan data plane etkilenmiyor, control plane etkileniyor.
- Management ve self IP adresine network erişimi olan client'lar açıktan faydanalabiliyor.
- Güncelleme yapmadan geçici çözüm için script bulunuyor.
- Tam çözüm için, F5 tarafından Hotfix versiyonlar yayınlandı.
Etkilenen/Etkilenmeyen Ürünler
Etkilenen Ürünler
| Ürün | Etkilenen Version | Fix'lenen Version | Seviye | CVSSv3 Skoru | Etkilenen Bileşen | |
| BIG-IP (tüm modüller) | 17.x | 17.1.0 - 17.1.1 | 17.1.1 + Hotfix-BIGIP-17.1.1.0.2.6-ENG 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG |
Kritik | 9.8 | Configuration utility |
| 16.x | 16.1.0 - 16.1.4 | 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG | ||||
| 15.x | 15.1.0 - 15.1.10 | 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2 | ||||
| 14.x | 14.1.0 - 14.1.5 | 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG | ||||
| 13.x | 13.1.0 - 13.1.5 | 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG |
Etkilenmeyen Ürünler
BIG-IP Next, BIG-IQ, F5 Distributed Cloud Services, F5OS, NGINX, Traffic SDC
Mitigation (Geçici Çözüm)
- Script içeriğini F5 websitesindeki linkten indirin.
- İndirdiğiniz dosyanın formatını .txt yerine .sh olarak değiştirip /root dizini içerisine atın. Veya dosya içeriğini kopyayalıp, komut satırında /root dizini içerisine mitigation-1.0.sh dosyası oluşturarak içine kaydedin.
- Komut satırına root kullanıcısı ile giriş yapın.
- chmod komutu ile script dosyasını çalıştırabilir hale getirin.
chmod +x /root/mitigation-1.0.sh && touch /root/mitigation-1.0.sh - Script dosyasını çalıştırın.
/root/mitigation-1.0.sh
Bu adımların data trafiği üzerinde bir etkisi yoktur.
Management Erişim Kısıtı
F5 ürünlerinde control plane'de yayınlanan açıklardan, genellikle management ve self IP adreslerine erişibilen saldırganlar faydanalanabildiğinden bu IP adreslerine erişimi izole etmek gereklidir.
- Management IP adresine erişimi kısıtlayın.
- Firewall kuralları ile management IP adresi için belirli source IP adreslerine izin verin. (Cihaz yöneticilleri, izleme tool'ları, vb.)
- httpd konfigürasyonunda allow list tanımlayın.
modify /sys httpd allow replace-all-with { 172.22.22.0/27 192.168.1.0150 }
- Self IP adreslerine erişimi kısıtlayın.
- Self IP adreslerinde Port Lockdown seçeneğini, ihtiyaca göre sınırlandırın. Management erişim ihtiyacı yoksa seçeneği Allow None veya Allow Custom olarak değiştirin. Sync için kullanılan self IP adresinde TCP 4353, failover için kullanılan self IP adresinde UDP 1026 portunun açık olması gereklidir.
- Firewall kuralları ile self IP adreslerine erişimi kısıtlayın.
Yardımcı Linkler
F5 Makalesi
Praeorian (Açığı Bildiren Firma) Makalesi
Refresh: Compromising F5 BIG-IP With Request Smuggling | CVE-2023-46747
F5 Certified! Solutions Expert, Security
F5 Certified! Solutions Expert, Cloud
F5 DevCentral MVP 2021-2022-2023
This Post Has 0 Comments