Dwie niedawno odkryte luki w platformie dostarczania aplikacji i bezpieczeństwa F5 Networks Big-IP są obecnie łączone i wykorzystywane przez cyberprzestępców, narażając na ryzyko tysiące użytkowników popularnej rodziny produktów.
Platforma została wprowadzona po raz pierwszy w 1997 r. i od tego czasu została rozszerzona szereg usług sieciowych i bezpieczeństwa obejmujący takie obszary, jak równoważenie obciążenia, odciążanie SSL, zapory aplikacji internetowych (WAF) i przyspieszanie aplikacji.
Dwie wady platformy – oznaczone oznaczeniami CVE-2023-46747 i CVE-2023-46748 – zostały ujawnione pod koniec października.
Pierwszy z nich to luka w zabezpieczeniach umożliwiająca nieuwierzytelnione zdalne wykonanie kodu (RCE) w narzędziu konfiguracyjnym Big-IP. W tych elementach rodziny produktów, do których się odnosi, ma wynik CVSSv3 wynoszący 9,8 i ma krytyczną wagę.
Drugi to luka w zabezpieczeniach umożliwiająca uwierzytelnienie polegające na wstrzyknięciu SQL, również w narzędziu konfiguracyjnym. W tych elementach rodziny produktów, których dotyczy, ma on wynik CVSSv3 na poziomie 8,8 i jest bardzo poważny.
Więcej szczegółów na temat zagrożonych elementów oraz dostępnych poprawek można znaleźć w powiązanych poradnikach, które zawierają również wytyczne dotyczące środków łagodzących i wskaźników naruszenia (IoC).
W aktualizacji opublikowanej na początku tego tygodnia F5 stwierdziło, że obserwuje obecnie wykorzystywanie łańcucha luk w zabezpieczeniach w środowisku naturalnym.
„Informacje te opierają się na dowodach, które F5 zaobserwowała na temat skompromitowanych urządzeń, które wydają się być wiarygodnymi wskaźnikami” – zauważyła organizacja w swoich poradnikach.
„Należy pamiętać, że nie wszystkie wykorzystywane systemy mogą wykazywać te same wskaźniki i rzeczywiście doświadczony atakujący może być w stanie usunąć ślady swojej pracy. Nie można udowodnić, że bezpieczeństwo urządzenia nie zostało naruszone; jeśli istnieje jakakolwiek niepewność, należy uznać, że urządzenie zostało naruszone.”
Dalsze szczegóły techniczne luk zostały już opublikowane przez badaczy, którzy jako pierwsi zgłosili te luki, Michaela Webera i Thomasa Hendricksona z Praetorian, specjalistę ds. testów penetracyjnych i bezpieczeństwa ofensywnego. Udostępniono również weryfikację koncepcji (PoC), więc prawdopodobne jest, że w nadchodzących dniach wykorzystanie może zacząć się nasilać.
Colin Little, inżynier bezpieczeństwa w Dośrodkowydostawca usług wykrywania zagrożeń wspieranych przez sztuczną inteligencję, stwierdził, że fakt, że w dalszym ciągu wykrywane są poważne luki w zabezpieczeniach platform krytycznych, takich jak moduły równoważenia obciążenia, byłby źródłem frustracji ich użytkowników.
„Luki są ze sobą nieusuwalnie powiązane, jedna wymaga uwierzytelnienia, a druga obejścia uwierzytelnienia. Są one również obecne w tym samym narzędziu, co ujawnia strasznie miękkie dno i prawdopodobnie pewne zaniedbania lub niedopatrzenia w cyklu życia rozwoju” – powiedział.
„Wykwalifikowany atakujący może usunąć ślady swojej pracy i nie jest w stanie udowodnić, że urządzenie nie zostało naruszone. Fakty te są rzadkie i być może wyjątkowe, gdy patrzy się na nie wyłącznie, i absolutnie wyjątkowe, gdy patrzy się na nie łącznie. „Założenie naruszenia” nadaje zupełnie nowe znaczenie, gdy producent stwierdza to w swojej oficjalnej dokumentacji swojego produktu.
Little dodał: „Jeśli nie jest dostępna poprawiona wersja, wydaje się, że środki zaradcze dla CVE-2023-46747 obejmują złożony skrypt pełen ostrzeżeń, takich jak „nie można instalować w tej wersji” i „zachowuj szczególną ostrożność podczas edytowania tej sekcji… ‘. Łagodzenie wydaje się chaotyczne, a F5 w dużym stopniu polega na umiejętnościach administratora systemu przy ich stosowaniu.”
