ช่องโหว่ระดับรุนแรงในการกำหนดค่าบนระบบ F5 BIG-IP ซึ่งมีหมายเลข CVE คือ CVE-2023-46747 ที่จะช่วยให้ผู้โจมตีที่สามารถเข้าถึงระบบ F5 BIG-IP สามารถช่วยให้เรียกใช้โค้ดจากระยะไกลโดยไม่ได้รับอนุญาตได้
ช่องโหว่ดังกล่าวได้รับคะแนน CVSS v3.1 ที่ 9.8 ซึ่งจัดว่าเป็นระดับ "Critical" เนื่องจากสามารถนำไปใช้ประโยชน์ได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ในการโจมตีที่มีความซับซ้อนต่ำ
"ช่องโหว่นี้อาจทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบความถูกต้องของการใช้งานผ่านเครือข่าย (Networking) เข้าถึงระบบ BIG-IP ผ่านทางพอร์ตการจัดการและที่อยู่ IP ของ F5 BIG-IP เพื่อดำเนินการสั่งคำสั่งของระบบได้ตามอำเภอใจ" ข้อมูลจากกระดานข่าวความปลอดภัยของ F5
ผู้โจมตีสามารถใช้ประโยชน์จากอุปกรณ์ที่มี Interface ผู้ใช้ Traffic Management User Interface (TMUI) ที่เปิดให้เขาถึงจากอินเทอร์เน็ตเท่านั้น และไม่ส่งผลกระทบต่อข้อมูล
อย่างไรก็ตาม เนื่องจาก TMUI มักถูกเปิดใช้งานกันแค่ภายในองค์กร ผู้โจมตีที่จะสามารถโจมตีได้ต้องสามารถ Compromised ระบบของเหยื่อแล้วจะสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้
เวอร์ชัน BIG-IP ที่ได้รับผลกระทบมีดังต่อไปนี้:
CVE-2023-46747 ไม่ส่งผลกระทบต่อผลิตภัณฑ์ BIG-IP Next, BIG-IQ Centralized Management, F5 Distributed Cloud Services, F5OS, NGINX และ Traffix SDC
สำหรับเวอร์ชันของผลิตภัณฑ์ F5 BIG-IP นั้นไม่รองรับถึงผลิตภัณฑ์ที่ EoL (สิ้นสุดอายุการใช้งาน) แล้ว และยังไม่ได้รับการประเมินความเสี่ยงกับ CVE-2023-46747 ดังนั้นผลิตภัณฑ์ F5 BIG-IP ที่ EoL แล้ว จึงอาจมีหรือไม่มีช่องโหว่ก็ได้
F5 ได้ปล่อยอัปเดตความปลอดภัยพร้อมกับคำแนะนำเมื่อวันที่ 26 ตุลาคม 2023
เวอร์ชันอัปเดตที่แนะนำซึ่งแก้ไขช่องโหว่คือ:
คำแนะนำ
เนื่องจากมีความเสี่ยงในการใช้เวอร์ชันในรายการดังกล่าว แนะนำให้อัปเกรดเป็นเวอร์ชันที่แก้ไขแล้วโดยเร็วที่สุด
F5 ได้จัดทำสคริปต์ (Script) และคำแนะนำเพื่อช่วยให้ผู้ดูแลระบบที่ไม่สามารถใช้การอัปเดตความปลอดภัยที่มีอยู่เพื่อบรรเทาปัญหาจากช่องโหว่นี้ได้ ซึ่งสคริปต์นี้เหมาะสำหรับ BIG-IP เวอร์ชัน 14.1.0 และเวอร์ชันที่ใหม่กว่าเท่านั้น นอกจากนี้ ขอแนะนำให้ใช้ความระมัดระวังสำหรับผู้ที่มีสิทธิ์สูงในการใช้งาน สคริปต์ดังกล่าวอาจเป็นปัญหาทำให้การตรวจสอบความสมบูรณ์ของ FIPS ล้มเหลว
หากต้องการใช้การบรรเทาผลกระทบโดยใช้สคริปต์ที่ F5 ให้มา สามารถทำตามขั้นตอนด้านล่าง:
VIPRION, vCMP guests บน VIPRION, และ BIG-IP tenants บน VELOS ต้องทำการรัน script แยกในแต่ละ blade แต่หากไม่ได้กำหนดที่อยู่ IP Address การจัดการให้กับแต่ละ blade คุณสามารถใช้สาย Serial console เพื่อรัน script ได้
ที่มา F5 fixes BIG-IP auth bypass allowing remote code execution attacks (bleepingcomputer.com)
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว