Pular para o conteúdo principal

F5 BIG-IP: Hotfix corrige vulnerabilidade que permite ataques de execução remota de código.



Uma vulnerabilidade crítica no configuration utility do F5 BIG-IP, reportada no CVE-2023-46747, permite que um invasor com acesso remoto ao utilitário de configuração execute um código sem se autenticar.

A falha recebeu uma pontuação CVSS v3.1 de 9,8, classificando-a como “crítica”, pois pode ser explorada sem autenticação em ataques de baixa complexidade.

“Esta vulnerabilidade pode permitir que um invasor não autenticado com acesso de rede ao sistema BIG-IP através da porta de gerenciamento e/ou endereços IP próprios execute comandos arbitrários do sistema”,  diz o boletim de segurança da F5 .

Interface exposta

Os ataques exploram a interface do usuário de gerenciamento de tráfego (TMUI).

Dificílmente os administradores do equipamento deixarão a interface exposta a internet, no entanto, como o TMUI normalmente é exposta internamente, um agente de ameaça que já tenha comprometido a rede poderá explorar a falha.

As versões afetadas do BIG-IP são as seguintes:

  • 17.x: 17.1.0
  • 16.x: 16.1.0 – 16.1.4
  • 15.x: 15.1.0 – 15.1.10
  • 14.x: 14.1.0 – 14.1.5
  • 13.x: 13.1.0 – 13.1.5

CVE-2023-46747 não afeta os produtos BIG-IP Next, BIG-IQ Centralized Management, F5 Distributed Cloud Services, F5OS, NGINX e Traffix SDC.

Versões de produtos não suportados que atingiram EoL (fim de vida útil) não foram avaliadas em relação ao CVE-2023-46747, portanto, podem ou não estar vulneráveis. 

Devido aos riscos envolvidos na utilização dessas versões, a recomendação é atualizar para uma versão suportada o mais rápido possível.

Descoberta da vulnerabilidade.

O problema foi descoberto pelos pesquisadores da Praetorian Security, Thomas Hendrickson e Michael Weber, que relataram ao fornecedor em 5 de outubro de 2023.
Os detalhes técnicos sobre CVE-2023-46747 foram compartilhados por meio de uma postagem no blog e prometem divulgar todos os detalhes de exploração assim que a correção do sistema for iniciada.

Hotfix

A F5 publicou a atualização de segurança junto com o comunicado em 26 de outubro de 2023.
As versões de atualização recomendadas que resolvem a vulnerabilidade são:
17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG
16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG
15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG
14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG
13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG

Script

A F5 também forneceu um script  para ajudar os administradores a aplicar a atualização de segurança para mitigar o problema.
Obs.: o script é adequado apenas para versões 14.1.0 e posteriores do BIG-IP.
 Além disso, recomenda-se cautela para aqueles com uma licença de modo compatível com FIPS 140-2, pois o script de mitigação pode causar falhas na verificação de integridade do FIPS.

Para aplicar a mitigação usando o script fornecido pela F5, siga as etapas abaixo:
  1. Baixe  e salve o script no sistema BIG-IP afetado
  2. Renomeie o arquivo .txt para ter a extensão .sh, como, por exemplo, 'mitigation.sh'.
  3. Faça login na linha de comando do sistema BIG-IP afetado como usuário root
  4. Use o utilitário chmod para tornar o script executável ('chmod +x /root/mitigation.sh && touch /root/mitigation.sh')
  5. Execute o script  '/root/mitigation.sh'
Mas não deixe de ler o artigo K000137353 da F5 Networks, que tem todas as informações em como aplicar a correção no BIG-IP. 
Como os dispositivos F5 BIG-IP são usados ​​por governos, bancos, provedores de serviços e grandes marcas de consumo, é altamente recomendável aplicar as correções ou mitigações disponíveis para evitar a exploração desses dispositivos.
Parece obvio, mas é bom alertar que interface do usuário de gerenciamento de tráfego (TMUI) nunca deve ser exposta à Internet.
Desejo sucesso em sua jornada!
Labels:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

O que são FSMO - Flexible Single-Master Operation.

O Active Directory ou apenas AD é  o repositório central no qual todos os objetos de uma rede de computadores empresarial e seus respectivos atributos são armazenados. É um banco de dados hierárquico que pode armazenar milhões de objetos e as alterações nestes objetos podem ser processadas por qualquer servidor do AD, chamados de  controladores de domínio* . *No dia a dia de trabalho, muitas vezes nos referimos aos controladores de domínio, pelo termo em inglês, Domain Controller ou a sua sigla, DC. Leia também:  Active Directory e Microsoft Entra ID: A base do gerenciamento de identidade e acesso. As funções FSMO desempenham um papel fundamental na integridade do AD.  O Active Directory  fornece a flexibilidade de permitir que as alterações ocorram em qualquer controlador de domínio e a maneira que o AD lida com atualizações conflitantes é ter um algoritmo de resolução de conflitos, no qual as últimas alterações gravadas prevalecem.   Embora esse méto...
Postar um comentário
Leia mais »

Como transferir as FSMO no Windows Server

Um dos maiores medos de um administrador é perder os controladores de domínio que tem as FSMO - Flexible Single-Master Operation, m as não se preocupe tanto, porque há como transferi-las, mesmo perdendo definitivamente o servidor. Neste tutorial vamos abordar exclusivamente a transferência das FSMO com o utilitário Ntdsutil.exe pelo prompt de comando. Antes de transferir as FSMO, lembre-se que: A possibilidade de transferência não exclui a necessidade de backup dos Windows Servers do Active Directory. Recomenda-se manter as funções Domain Naming Master e Schema Master no mesmo DC, que deve ser um  servidor  de Catálogo Global (GC) simultaneamente; Se você perdeu o servidor com a função Schema Master, poderá   atribuir essa função a qualquer outro controlador de domínio   .  Mas tenha em mente que o Schema Master original não deverá aparecer na rede depois disso; Se você chegou aqui e não sabe o que são FSMO e a importância de cada uma das funções, leia o artig...
Postar um comentário
Leia mais »

Como obter sua chave do produto do Windows com o prompt de comando.

Se quiser obter sua chave do produto do Windows 10 ou do Windows 11, a maneira mais fácil de fazer é com o prompt de comando do Windows. O que é a chave do produto do Windows? Uma chave do produto ou licença do Windows é um código de 25 caracteres,   formatada como "XXXXX-XXXXX-XXXXX-XXXXX-XXXXX", que a Microsoft fornece para ativar uma única cópia do Windows em um computador. A chave do produto de ativação do Windows 10 é essencial se você deseja atualizar ou instalar o sistema de forma limpa. No entanto, muitos usuários não têm ideia de onde a chave está armazenada. Esse artigo vai ajudar a encontra-la. Vamos lá !! Primeiro, pressione a tecla Windows, procure por "cmd" e clique em "Run as administrator" (Executar como administrador, em português): Em seguida, execute o comando abaixo: wmic path softwarelicensingservice get OA3xOriginalProductKey Ou execute o comando em powershell: powershell "(Get-WmiObject -query ‘select * from SoftwareLicensingSer...
Postar um comentário
Leia mais »