F5 已針對其 BIG-IP 套件中的遠(yuǎn)程代碼執(zhí)行 (RCE) 錯誤發(fā)布了修復(fù)程序,該錯誤的嚴(yán)重程度接近最高���。
Praetorian 的研究人員首先發(fā)現(xiàn)了 BIG-IP 配置實用程序中的身份驗證繞過缺陷���,并于本周發(fā)布了他們的發(fā)現(xiàn)�����,這是自 2020 年以來影響 BIG-IP 的第三個主要 RCE 漏洞。
該漏洞的編號為 CVE-2023-46747���,CVSS 等級的初始嚴(yán)重性評分為 9.8 分(滿分 10 分)�����,如果被利用,可能會導(dǎo)致整個系統(tǒng)受損���。
F5 的通報表明�����,除 BIG-IP(所有模塊)之外���,沒有其他產(chǎn)品受到該漏洞的影響。以下版本存在漏洞��,應(yīng)升級到最新版本:
17.1.0
16.1.0-16.1.4
15.1.0-15.1.10
14.1.0-14.1.5
13.1.0-13.1.5
所有受影響的版本現(xiàn)在都有修補程序���,應(yīng)盡快升級����。對于那些無法立即升級的用戶,F(xiàn)5發(fā)布了一些臨時緩解措施��。
漏洞披露
Praetorian 的研究人員之一����、F5 發(fā)現(xiàn)的合著者 Michael Weber 向 Mastodon 透露了更多有關(guān)與供應(yīng)商的披露過程如何展開的信息。
Weber 透露��,F(xiàn)5 在 10 月初獲悉這些問題后���,原本并不打算解決這些問題�,但在意識到參與披露的人員之外可能還存在對該缺陷的了解后����,很快就改變了態(tài)度。
“我們在本月初向 F5 報告�,并就披露時間表與他們進行了一些反復(fù)討論,”韋伯寫道�����。“我們并不著急��,我們預(yù)計需要一兩個月的時間才能披露,但他們希望在 2024 年 2 月發(fā)布��。
“等待預(yù)授權(quán) RCE 錯誤的時間很長�����,因此我們要求更快�,但要提前 48 小時通知,以便我們能夠與客戶進行適當(dāng)協(xié)調(diào)�����。[F5] 表示他們對此表示同意����。
“然后昨晚 8 點(美國東部時間)�,我們收到一封電子郵件,稱他們將在 16 小時內(nèi)放棄該建議和修補程序����。我們詢問原因,并被告知‘我們相信這個漏洞現(xiàn)在已在 F5 和 Praetorian 以外的地方被知曉����,因此迫使我們采取行動立即披露”�����。
在后續(xù)帖子中���,Weber 透露,F(xiàn)5 最近讓他意識到��,一位匿名獨立研究人員與供應(yīng)商聯(lián)系����,強調(diào)了過去兩周內(nèi)存在的相同錯誤。
然而���,他表示����,他懷疑 Praetorian 研究中詳細(xì)介紹的 RCE 漏洞“只是與F5 周四發(fā)布的更大規(guī)模的建議捆綁在一起” ���,其中包括影響 BIG-IP 的另外兩個漏洞的問題���。
其中一個緩存中毒問題據(jù)稱是由一位獨立安全研究人員發(fā)現(xiàn)的,他對 F5 缺乏漏洞賞金機會感到不滿���,因此決定自行披露�����。目前尚無可用的修復(fù)程序��。
另一個是 SQL 注入漏洞����,影響與 CVE-2023-46747 完全相同的版本和相同的配置實用程序組件。嚴(yán)重性得分稍低�����,為 8.8����,利用該漏洞可以允許經(jīng)過身份驗證且具有網(wǎng)絡(luò)訪問權(quán)限的攻擊者實現(xiàn) RCE��。
錯誤本身
Praetorian 研究人員表示���,他們將保留有關(guān)該漏洞的全部詳細(xì)信息����,以允許組織應(yīng)用修補程序。
然而���,他們確實透露該問題被定義為 Apache JServ 協(xié)議 (AJP) 走私漏洞��。
使用 AWS Marketplace 模板部署默認(rèn)的 F5 安裝后���,研究人員開始掃描其攻擊面,首先發(fā)現(xiàn)它在 CentOS 7.5-1804 上運行�。
雖然它不是一個已經(jīng)停產(chǎn)的操作系統(tǒng),但從軟件標(biāo)準(zhǔn)來看����,它于 2018 年推出,顯得有點過時�,這一觀察促使研究人員調(diào)查其他核心組件的問題。
然后他們將 Apache 版本確定為 2.4.6����,盡管該版本是在 F5 設(shè)備上定制的,但仍需要維護一長串安全補丁�。
在調(diào)查完 Qlik Sense Enterprise 中的請求走私問題后,研究人員也從這個角度對 F5 進行了調(diào)查����,發(fā)現(xiàn)了 F5 承認(rèn)影響其自定義 Apache 版本的一個此類漏洞 (CVE-2022-26377)�。
研究人員在披露中表示�,他們能夠確認(rèn) F5 設(shè)備在 Tomcat 上使用了 AJP 連接器,這是利用 CVE-2022-26377 的先決條件�,后來又證實 AJP 走私在 BIG-IP 上有效。
從那里�,他們可以使用 root 權(quán)限實現(xiàn) RCE,但他們?nèi)绾蔚竭_(dá)該階段的完整細(xì)節(jié)將在他們認(rèn)為已經(jīng)過去足夠的時間以允許應(yīng)用修補程序后公布����。
他們表示:“未來幾天,我們將發(fā)布有關(guān)利用此漏洞的更多信息���,但鑒于 F5 BIG-IP 設(shè)備尚未發(fā)布官方補丁�,我們認(rèn)為放棄所有技術(shù)細(xì)節(jié)與負(fù)責(zé)任的披露不符��?�!闭f����。
“一旦 F5 發(fā)布了官方補丁并且組織有時間應(yīng)用它�,我們將發(fā)布有關(guān)如何利用 AJP 走私來破壞設(shè)備并以根用戶身份執(zhí)行命令的剩余信息?���!?/span>
“我知道這不是#citrixbleed�,但如果您是互聯(lián)網(wǎng)上仍然擁有 F5 配置面板的數(shù)千個組織之一�����,那么這就是一個非常嚴(yán)重的錯誤�,”Weber 在他的 Mastodon 帖子中說道。
