图片
导语
近日,网络安全公司Praetorian Security的研究人员发现了一项影响F5 BIG-IP配置工具的严重漏洞,该漏洞被命名为CVE-2023-46747。攻击者可以通过远程访问配置工具来执行未经身份验证的远程代码,从而对系统进行攻击。本文将详细介绍该漏洞的情况、受影响的版本以及修复方法。
漏洞详情
根据F5的安全公告,CVE-2023-46747漏洞的CVSS v3.1评分为9.8,被评为“危急”,因为它可以在低复杂性攻击中无需身份验证即可被利用。攻击者只能利用将Traffic Management User Interface(TMUI)暴露在互联网上的设备,而不会影响数据平面。然而,由于TMUI通常在内部暴露,已经入侵网络的威胁行为者可以利用该漏洞。
受影响版本
受影响的BIG-IP版本如下:
BIG-IP Next
BIG-IQ Centralized Management
F5 Distributed Cloud Services
F5OS
NGINX
Traffix SDC产品
未经支持的产品版本已经达到生命周期结束(EoL),尚未对CVE-2023-46747进行评估,因此可能存在漏洞。由于使用这些版本存在风险,建议尽快升级到支持的版本。
修复方法
F5已经确认于2023年10月12日复现了该漏洞,并于2023年10月26日发布了安全更新和相关建议。以下是解决该漏洞的推荐更新版本:
BIG-IP 14.1.0及更高版本
F5还在公告中提供了一份脚本,以帮助无法应用可用安全更新的管理员缓解问题。需要注意的是,该脚本仅适用于BIG-IP 14.1.0及更高版本。对于拥有FIPS 140-2合规模式许可证的用户,需要谨慎使用该脚本,因为它可能导致FIPS完整性检查失败。
以下是使用F5提供的脚本进行缓解的步骤:
在VIPRION、vCMP和VELOS上的每个刀片上单独运行脚本。
如果每个刀片上未分配管理IP地址,则可以连接到串行控制台来运行脚本。
总结
F5 BIG-IP设备被政府机构、财富500强企业、银行、服务提供商和知名消费品牌广泛使用,因此强烈建议应用任何可用的修复措施,以防止对这些设备的攻击。Praetorian还警告称,Traffic Management User Interface(TMUI)永远不应该首次暴露在互联网上。过去的案例显示,F5 BIG-IP TMUI曾经被暴露,允许攻击者利用漏洞来清除设备并获得对网络的初始访问权限。
此外,我们还需要密切关注其他类似的严重远程代码执行漏洞,例如SolarWinds访问审计解决方案、数百万台Exim邮件服务器以及数千台Juniper设备的零日远程代码执行漏洞。这些漏洞的存在对网络安全构成了巨大威胁,我们应当及时采取措施进行修复和防范。
感谢您阅读本文,希望对您了解F5 BIG-IP认证绕过漏洞有所帮助。
