Une vulnérabilité critique dans l’utilitaire de configuration F5 BIG-IP, identifiée comme CVE-2023-46747, permet à un attaquant disposant d’un accès à distance à l’utilitaire de configuration d’exécuter du code à distance non authentifié.
La faille a reçu un score CVSS v3.1 de 9,8, la classant « critique », car elle peut être exploitée sans authentification dans des attaques de faible complexité.
« Cette vulnérabilité peut permettre à un attaquant non authentifié ayant un accès réseau au système BIG-IP via le port de gestion et/ou ses propres adresses IP d’exécuter des commandes système arbitraires », lit-on dans le bulletin de sécurité de F5.
Les acteurs malveillants ne peuvent exploiter que les appareils dont l’interface utilisateur de gestion du trafic (TMUI) est exposée à Internet et n’affectent pas le plan de données.
Cependant, comme le TMUI est généralement exposé en interne, un acteur malveillant ayant déjà compromis un réseau pourrait exploiter cette faille.
Les versions BIG-IP concernées sont les suivantes :
- 17.x: 17.1.0
- 16.x: 16.1.0 – 16.1.4
- 15.x: 15.1.0 – 15.1.10
- 14.x: 14.1.0 – 14.1.5
- 13.x: 13.1.0 – 13.1.5
CVE-2023-46747 n’a pas d’impact sur les produits BIG-IP Next, BIG-IQ Centralized Management, F5 Distributed Cloud Services, F5OS, NGINX et Traffix SDC.
Les versions de produits non prises en charge qui ont atteint la fin de vie (EoL) n’ont pas été évaluées par rapport à CVE-2023-46747, elles peuvent donc être vulnérables ou non.
En raison des risques liés à l’utilisation de ces versions, il est recommandé de mettre à niveau vers une version prise en charge dès que possible.
Divulgation et fixation
Le problème a été découvert par les chercheurs de Praetorian Security Thomas Hendrickson et Michael Weber, qui l’ont signalé au fournisseur le 5 octobre 2023.
Praetorian a partagé plus de détails techniques sur CVE-2023-46747 via un article de blog, les chercheurs promettant de divulguer tous les détails d’exploitation une fois que les correctifs du système auront été mis en place.
F5 a confirmé avoir reproduit la vulnérabilité le 12 octobre et publié la mise à jour de sécurité ainsi que l’avis le 26 octobre 2023.
Les versions de mise à jour recommandées qui corrigent la vulnérabilité sont :
- 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG
- 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG
- 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG
- 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG
- 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG
F5 a également fourni un script dans l’avis pour aider les administrateurs incapables d’appliquer la mise à jour de sécurité disponible afin d’atténuer le problème.
Il convient de noter que le script ne convient qu’aux versions BIG-IP 14.1.0 et ultérieures. En outre, la prudence est recommandée aux personnes disposant d’une licence en mode conforme FIPS 140-2, car le script d’atténuation peut provoquer des échecs de vérification de l’intégrité FIPS.
Pour appliquer l’atténuation à l’aide du script fourni par F5, suivez les étapes ci-dessous :
- Téléchargez et enregistrez le script sur le système BIG-IP concerné
- Renommez le fichier .txt pour qu’il ait l’extension .sh, comme, par exemple, « mitigation.sh ».
- Connectez-vous à la ligne de commande du système BIG-IP concerné en tant qu’utilisateur root.
- Utilisez l’utilitaire chmod pour rendre le script exécutable (‘chmod +x /root/mitigation.sh && touch /root/mitigation.sh’)
- Exécutez le script avec ‘/root/mitigation.sh’
VIPRION, les invités vCMP sur VIPRION et les locataires BIG-IP sur VELOS doivent exécuter le script individuellement sur chaque lame.
Si aucune adresse IP de gestion n’a été attribuée à chaque lame, vous pouvez vous connecter à la console série pour l’exécuter.
Étant donné que les appareils F5 BIG-IP sont utilisés par les gouvernements, les entreprises Fortune 500, les banques, les fournisseurs de services et les grandes marques grand public, il est fortement conseillé d’appliquer tous les correctifs ou mesures d’atténuation disponibles pour empêcher l’exploitation de ces appareils.
Praetorian prévient également que l’interface utilisateur de gestion du trafic ne doit jamais être exposée à Internet en premier lieu.
Malheureusement, comme cela a été démontré par le passé, le TMUI F5 BIG-IP a été exposé, permettant aux attaquants d’exploiter les vulnérabilités pour effacer les appareils et obtenir un premier accès aux réseaux.