Події 0
Ua
En
Події 0
Результат пошуку:
CVE-2023-46747: F5 BIG-IP – Вразливість неавторизованого віддаленого виконання коду- image 1

CVE-2023-46747: F5 BIG-IP – Вразливість неавторизованого віддаленого виконання коду

26 жовтня 2023 року компанія F5 опублікувала повідомлення про уразливість AJP Smuggling, виявлену в продуктах F5 BIG-IP. CVE-2023-46747 – критична уразливість, яка дозволяє неавторизованим зловмисникам виконувати довільні команди від імені користувача root на вразливих пристроях. Вразливість має оцінку CVSS 9.8 (критична), і організаціям рекомендується виправити вразливі платформи F5 BIG-IP.

Детальніше про вразливість F5 BIG-IP CVE-2023-46747 та про те, як організації можуть захиститися від атак з використанням CVE-2023-46747 читайте далі.

Пояснення вразливості AJP Smuggling

Apache JServ Protocol (AJP) – це двійковий протокол, призначений для проксі-серфінгу вхідних запитів від вебсервера до сервера додатків, на якому виконуються Java-додатки. Цей протокол є типовим для середовищ, де вебсервер обробляє статичний вміст, а запити на динамічний вміст перенаправляє на сервер додатків. AJP Smuggling, подібно до HTTP Request Smuggling, використовує розбіжності в інтерпретації серверами протоколу AJP, що призводить до ситуації, коли зловмисник може переслати або вставити шкідливі запити, на які сервер ненавмисно реагує. Ця вразливість може мати різні наслідки, від обходу засобів контролю безпеки до отримання несанкціонованого доступу або навіть виконання довільного коду, в залежності від конфігурації та конкретного середовища. Оскільки AJP призначений для внутрішнього використання між довіреними серверами, йому часто не вистачає необхідних засобів контролю безпеки для перевірки та санації запитів.

Уразливість Apache Tomcat CVE-2020-1938, також відома як Ghostcat, є відомим прикладом уразливості AJP Smuggling. Ghostcat дозволяє зловмисникам читати або включати будь-які файли в каталоги вебдодатків Tomcat через порт AJP, що призводить до розголошення інформації або навіть потенційного виконання віддаленого коду, якщо сервер дозволяє завантаження файлів.

Що таке F5 BIG-IP CVE-2023-46747 – Вразливість віддаленого виконання коду?

Продукти F5 BIG-IP використовуються багатьма організаціями по всьому світу для управління та захисту вебтрафіку. Інтерфейс користувача F5 Traffic Management User Interface (TMUI) є невід’ємним компонентом системи F5 BIG-IP. Він служить графічним інтерфейсом користувача (GUI), який надає користувачам інтуїтивно зрозумілу платформу для управління і моніторингу багатьох функціональних можливостей системи BIG-IP. F5 TMUI спрямовує всі HTTP-запити до різних служб на внутрішній стороні, а запити до кінцевих точок “/tmui” перенаправляються до служби Apache JServ Protocol (AJP), що прослуховує порт 8009.

Дослідники безпеки з Praetorian Labs виявили AJP уразливість в кінцевій точці “/tmui”, яка дозволяє неавторизованим зловмисникам обійти автентифікацію та виконати команди з привілеями root. CVE-2023-46747 має оцінку CVSS 9.8 (критична).

Усунення уразливості до віддаленого виконання коду F5 BIG-IP – CVE-2023-46747

F5 випустила виправлення для вразливих продуктів F5 BIG-IP. Організаціям рекомендується якнайшвидше встановити виправлення на свої вразливі продукти F5 BIG-IP. Вразливі продукти перераховані нижче.

Продукт Вразлива версія Виправлена версія
F5 BIG-IP (всі модулі) 17.1.0 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG3
16.1.0 – 16.1.4 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG3
15.1.0 – 15.1.10 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG3
14.1.0 – 14.1.5 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG3
13.1.0 – 13.1.5 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG3

Якщо встановлення гарячих виправлень недоступне, організації можуть скористатися наведеними нижче заходами як тимчасовими засобами захисту від атак CVE-2023-46747.

  • Блокування доступу до утиліти конфігурації

Вразливим компонентом F5 BIG-IP є утиліта конфігурації. Доступ до утиліти конфігурації повинен бути обмежений лише довіреними користувачами та пристроями через захищену мережу. Змінивши параметр Блокування Портів (Port Lockdown) на “Дозволити жодного” (Allow None) для кожної власної IP-адреси, доступ до утиліти Конфігурації можна обмежити.

Організаціям рекомендується заблокувати або обмежити доступ до утиліти конфігурації через власні IP-адреси та інтерфейс керування.

Як Picus допомагає моделювати атаки F5 BIG-IP CVE-2023-46747?

Ми також наполегливо рекомендуємо змоделювати вразливість F5 BIG-IP CVE-2023-46747, щоб перевірити ефективність ваших засобів захисту від складних кібератак за допомогою Picus The Complete Security Validation Platform. Ви також можете протестувати свій захист від інших атак з використанням вразливостей, таких як Log4Shell, Looney Tunables і ProxyShell, за лічені хвилини за допомогою платформи Picus.

Розуміння ефективності власної інфраструктури безпеки стає все важливішим у світі, де загрози та вразливості розвиваються зі неймовірною швидкістю. У цьому контексті рішення компанії Picus Security відіграють ключову роль. Вони допомагають організаціям не лише ідентифікувати і ліквідувати потенційні слабкі місця в своїх системах безпеки, але й оцінюють, наскільки ефективно засоби безпеки можуть протистояти реальним атакам в реальному часі, що забезпечує необхідний рівень захисту і впевненості.

iIT Distribution є офіційним дистриб’ютором компанії Picus Security в Україні, Узбекистані та Казахстані. Заповнюйте коротку контактну форму на нашому сайті та протестуйте The Complete Security Validation Platform у дії.

НОВИНИ

Актуальні новини на вашу тему

Усі новини
Усі новини