.
A F5 lançou uma correção para um bug de execução remota de código (RCE) em seu conjunto BIG-IP com uma pontuação de gravidade quase máxima.
Pesquisadores da Praetorian descobriram pela primeira vez a falha de desvio de autenticação no utilitário de configuração do BIG-IP e publicaram suas descobertas esta semana sobre aquele que é o terceiro grande bug RCE a impactar o BIG-IP desde 2020.
Rastreada como CVE-2023-46747, a vulnerabilidade recebeu uma pontuação de gravidade inicial de 9,8 de 10 possíveis na escala CVSS e, se explorada, pode levar ao comprometimento total do sistema.
O comunicado da F5 indicou que nenhum outro produto além do BIG-IP (todos os módulos) é afetado pela vulnerabilidade. As seguintes versões são vulneráveis e devem ser atualizadas para a versão mais recente:
- 17.1.0
- 16.1.0-16.1.4
- 15.1.0-15.1.10
- 14.1.0-14.1.5
- 13.1.0-13.1.5
Todas as versões afetadas agora possuem hotfixes e devem ser atualizadas o mais rápido possível. Para aqueles que não conseguem atualizar imediatamente, F5 lançado uma série de mitigações temporárias.
Divulgação de vulnerabilidade
Michael Weber, um dos pesquisadores da Praetorian e coautor da descoberta do F5, foi ao Mastodon para revelar um pouco mais sobre como se desenrolou o processo de divulgação com o fornecedor.
Weber revelou que a F5 originalmente não planejava resolver os problemas depois de tomar conhecimento deles no início de outubro, mas rapidamente deu meia-volta depois de perceber que o conhecimento da falha pode existir fora dos envolvidos na divulgação.
“Fomos reportar à F5 no início do mês e tivemos algumas idas e vindas com eles sobre o cronograma de divulgação”, disse Weber. escreveu. “Não temos pressa, achamos que demoraria um ou dois meses para divulgar, mas queriam publicar em fevereiro de 2024.
“É muito tempo de espera por um bug RCE de pré-autenticação, então pedimos que fosse antes, mas com 48 horas de antecedência para que pudéssemos coordenar com nossos clientes de forma adequada. [F5] disseram que estavam bem com isso.
“Então, ontem à noite, às 20h ET, recebemos um e-mail informando que eles abandonariam o aviso e o hotfix em 16 horas. Perguntamos por que e fomos informados ‘acreditamos que esta vulnerabilidade agora é conhecida fora do F5 e do Praetorian, forçando assim nossas mãos a um divulgação imediata’.”
Em uma postagem de acompanhamento, Weber revelou que F5 recentemente o informou que um pesquisador independente anônimo abordou o fornecedor destacando o mesmo bug nas últimas duas semanas.
No entanto, ele disse suspeitar que o bug RCE detalhado na pesquisa do Praetorian “foi simplesmente incluído” com um assessoria maior do F5 na quinta-feira, que incluiu problemas para dois outros bugs que impactam o BIG-IP.
Um deles, um problema de envenenamento de cache, foi supostamente encontrado por um pesquisador de segurança independente que ficou ofendido com a falta de oportunidades de recompensas por bugs no F5, então eles decidiram divulguem eles mesmos. Atualmente não há correções disponíveis para isso.
A outra era a vulnerabilidade de injeção de SQL afetando exatamente as mesmas versões e o mesmo componente do utilitário de configuração que CVE-2023-46747. Com uma pontuação de gravidade ligeiramente inferior de 8,8, a exploração poderia permitir que um invasor autenticado com acesso à rede obtivesse RCE.
O bug em si
Os pesquisadores do Praetorian disseram que reteriam todos os detalhes sobre a vulnerabilidade para permitir que as organizações aplicassem os hotfixes.
No entanto, eles revelaram que o problema é definido como uma vulnerabilidade de contrabando do protocolo Apache JServ (AJP).
Depois de implantar uma instalação F5 padrão usando um modelo do AWS Marketplace, os pesquisadores começaram a verificar sua superfície de ataque, descobrindo primeiro que ela era executada no CentOS 7.5-1804.
Embora não seja um sistema operacional que atingiu o EOL, o lançamento em 2018 o torna um pouco antigo para os padrões de software, uma observação que levou os pesquisadores a investigar outros componentes principais em busca de problemas.
Eles então identificaram a versão do Apache como 2.4.6, que apesar de ser customizada no dispositivo F5, possui um Lista longa de patches de segurança para manter.
Depois de analisar problemas de contrabando de solicitações no Qlik Sense Enterprise, os pesquisadores investigaram o F5 também sob essa ótica, encontrando uma vulnerabilidade (CVE-2022-26377) desse tipo que o F5 admitiu ter afetado sua versão personalizada do Apache.
Eles conseguiram confirmar que o dispositivo F5 usava um conector AJP no Tomcat, que é um pré-requisito para explorar o CVE-2022-26377, disseram os pesquisadores. disse em sua divulgação, e posteriormente verificaram que o contrabando de AJP funcionava no BIG-IP.
A partir daí, eles poderiam obter RCE com privilégios de root, mas detalhes completos de como chegaram a esse estágio virão depois que considerarem que já passou tempo suficiente para permitir a aplicação dos hotfixes.
“Nos próximos dias publicaremos mais informações sobre a exploração desta vulnerabilidade, mas dado que ainda não existe um patch oficial para os dispositivos F5 BIG-IP, acreditamos que abandonar todos os detalhes técnicos não seria consistente com uma divulgação responsável”, disseram. disse.
“Assim que a F5 lançar um patch oficial e as organizações tiverem tempo para aplicá-lo, publicaremos as informações restantes sobre como aproveitar o contrabando de AJP para comprometer o dispositivo e executar comandos como usuário root.”
“Eu sei que não é #citrixbleedmas este é um bug muito grave se você é uma das milhares de organizações que ainda possuem um painel de configuração F5 na Internet “, disse Weber em sua postagem no Mastodon. ®
.
