ช่องโหว่ระดับรุนแรงในการกำหนดค่าบนระบบ F5 BIG-IP ซึ่งมีหมายเลข CVE คือ CVE-2023-46747 ที่จะช่วยให้ผู้โจมตีที่สามารถเข้าถึงระบบ F5 BIG-IP สามารถช่วยให้เรียกใช้โค้ดจากระยะไกลโดยไม่ได้รับอนุญาตได้

ช่องโหว่ดังกล่าวได้รับคะแนน CVSS v3.1 ที่ 9.8 ซึ่งจัดว่าเป็นระดับ "Critical" เนื่องจากสามารถนำไปใช้ประโยชน์ได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ในการโจมตีที่มีความซับซ้อนต่ำ

"ช่องโหว่นี้อาจทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบความถูกต้องของการใช้งานผ่านเครือข่าย (Networking) เข้าถึงระบบ BIG-IP ผ่านทางพอร์ตการจัดการและที่อยู่ IP ของ F5 BIG-IP เพื่อดำเนินการสั่งคำสั่งของระบบได้ตามอำเภอใจ" ข้อมูลจากกระดานข่าวความปลอดภัยของ F5

ผู้โจมตีสามารถใช้ประโยชน์จากอุปกรณ์ที่มี Interface ผู้ใช้ Traffic Management User Interface (TMUI) ที่เปิดให้เขาถึงจากอินเทอร์เน็ตเท่านั้น และไม่ส่งผลกระทบต่อข้อมูล

อย่างไรก็ตาม เนื่องจาก TMUI มักถูกเปิดใช้งานกันแค่ภายในองค์กร ผู้โจมตีที่จะสามารถโจมตีได้ต้องสามารถ Compromised ระบบของเหยื่อแล้วจะสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้

เวอร์ชัน BIG-IP ที่ได้รับผลกระทบมีดังต่อไปนี้:

• 17.x: 17.1.0
• 16.x: 16.1.0 – 16.1.4
• 15.x: 15.1.0 – 15.1.10
• 14.x: 14.1.0 – 14.1.5
• 13.x: 13.1.0 – 13.1.5

CVE-2023-46747 ไม่ส่งผลกระทบต่อผลิตภัณฑ์ BIG-IP Next, BIG-IQ Centralized Management, F5 Distributed Cloud Services, F5OS, NGINX และ Traffix SDC

สำหรับเวอร์ชันของผลิตภัณฑ์ F5 BIG-IP นั้นไม่รองรับถึงผลิตภัณฑ์ที่ EoL (สิ้นสุดอายุการใช้งาน) แล้ว และยังไม่ได้รับการประเมินความเสี่ยงกับ CVE-2023-46747 ดังนั้นผลิตภัณฑ์ F5 BIG-IP ที่ EoL แล้ว จึงอาจมีหรือไม่มีช่องโหว่ก็ได้

F5 ได้ปล่อยอัปเดตความปลอดภัยพร้อมกับคำแนะนำเมื่อวันที่ 26 ตุลาคม 2023

เวอร์ชันอัปเดตที่แนะนำซึ่งแก้ไขช่องโหว่คือ:

• 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG
• 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG
• 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG
• 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG
• 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG

คำแนะนำ
เนื่องจากมีความเสี่ยงในการใช้เวอร์ชันในรายการดังกล่าว แนะนำให้อัปเกรดเป็นเวอร์ชันที่แก้ไขแล้วโดยเร็วที่สุด

F5 ได้จัดทำสคริปต์ (Script) และคำแนะนำเพื่อช่วยให้ผู้ดูแลระบบที่ไม่สามารถใช้การอัปเดตความปลอดภัยที่มีอยู่เพื่อบรรเทาปัญหาจากช่องโหว่นี้ได้ ซึ่งสคริปต์นี้เหมาะสำหรับ BIG-IP เวอร์ชัน 14.1.0 และเวอร์ชันที่ใหม่กว่าเท่านั้น นอกจากนี้ ขอแนะนำให้ใช้ความระมัดระวังสำหรับผู้ที่มีสิทธิ์สูงในการใช้งาน สคริปต์ดังกล่าวอาจเป็นปัญหาทำให้การตรวจสอบความสมบูรณ์ของ FIPS ล้มเหลว

หากต้องการใช้การบรรเทาผลกระทบโดยใช้สคริปต์ที่ F5 ให้มา สามารถทำตามขั้นตอนด้านล่าง:

1. ดาวน์โหลดและบันทึกสคริปต์ลงในระบบ BIG-IP ที่ได้รับผลกระทบ (https://techdocs.f5.com/dam/f5/kb/global/solutions/k000137353_files/mitigation.txt)
2. เปลี่ยนนามสกุลไฟล์ .txt เป็น .sh ตัวอย่างเช่น mitigation.sh
3. Log in ด้วย root user ผ่าน command line ไปที่ระบบ BIG-IP ที่มีปัญหา
4. ใช้ Linux คอมมานด์ chmod เพื่อเปลี่ยนให้ไฟล์ mitigation.sh อยู่ในสถานะที่สามารถ execute ได้ เช่น chmod +x /root/mitigation.sh && touch /root/mitigation.sh
5. ทำการ Execute script ดังนี้ /root/mitigation.sh

VIPRION, vCMP guests บน VIPRION, และ BIG-IP tenants บน VELOS ต้องทำการรัน script แยกในแต่ละ blade แต่หากไม่ได้กำหนดที่อยู่ IP Address การจัดการให้กับแต่ละ blade คุณสามารถใช้สาย Serial console เพื่อรัน script ได้

ที่มา F5 fixes BIG-IP auth bypass allowing remote code execution attacks (bleepingcomputer.com)

‍