Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

F5 BIG-IP tuotteissa kriittinen haavoittuvuus - Hyväksikäyttöä havaittu

Haavoittuvuus24/2023CVSS 9.8CVE-2023-46747 (Ulkoinen linkki)

Julkaistu

F5 on julkaissut päivitykset kahteen haavoittuvuuteen CVE-2023-46747 ja CVE-2023-46748, joiden avulla hyökkääjä voi suorittaa etänä komentoja järjestelmässä. Toinen haavoittuvuuksista on luokiteltu kriittiseksi. F5 suosittelee haavoittuvien järjestelmien päivittämistä.

F5 BIG-IP tuotteissa on löydetty kaksi haavoittuvuutta, joista toinen on luokiteltu kriittiseksi. Haavoittuvuuksien avulla hyökkääjä voi ilman tunnistautumista suorittaa haavoittuvassa järjestelmässä komentoja etänä. Haavoittuvuudet koskevat useita eri F5 BIG-IP versioita. F5 on julkaissut korjaavat päivitykset haavoittuvuuksiin sekä rajoituskeinoja, joilla toisen haavoittuvuuden hyväksikäyttöä voidaan pyrkiä estämään. Julkaistuja haavoittuvuuksia on käytetty hyväksi ja F5 antaa tiedotteessaan ohjeita haavoittuvuuksien hyväksikäytön selvittämiseen. Haavoittuvuuksien hyväksikäyttöön on myös julkaistu hyväksikäytön mahdollistava koodi.

Haavoittuvuudet koskevat organisaatioita, jotka käyttävät kyseistä tuotetta. Koska haavoittuvuuksia on jo hyväksikäytetty, on päivittäminen erityisen tärkeää. Kyberturvallisuuskeskus ottaa mielellään vastaan ilmoituksia, mikäli havaitsette tietoturvapoikkeamia kyseisiin haavoittuvuuksiin liittyen.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä
  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen

Haavoittuvuuden kohde

Haavoittuvat BIG IP versiot: 

  • 17.1.0 - 17.1.1
  • 16.1.0 - 16.1.4
  • 15.1.0 - 15.1.10
  • 14.1.0 - 14.1.5
  • 13.1.0 - 13.1.5

Mistä on kysymys?

Ylläpitäjiä suositellaan päivittämään järjestelmä versioihin joissa haavoittuvuudet on korjattu:

  • 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG3
  • 17.1.1 + Hotfix-BIGIP-17.1.1.0.2.6-ENG3
  • 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG3
  • 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG3
  • 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG3
  • 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG3

F5 on myös julkaissut rajoituskeinoja heidän tiedotteessaan (ulkoinen linkki) (Ulkoinen linkki), joilla haavoittuvuuden CVE-2023-46747 hyväksikäyttöä voidaan pyrkiä estämään.

Haavoittuvuuksien hyväksikäytöstä voi nähdä jälkiä /var/log/tomcat/catalina.out lokitiedostossa. Mikäli lokitiedostosta löytyy seuraava merkintä, on hyväksikäyttöä todennäköisesti tapahtunut:

{...}
java.sql.SQLException: Column not found: 0.
{...)
sh: no job control in this shell
sh-4.2$ <EXECUTED SHELL COMMAND>
sh-4.2$ exit.

Lisätietoja hyväksikäytön selvittämiseen löytyy F5 julkaisemasta tiedotteesta (ulkoinen linkki) (Ulkoinen linkki).

Mitä voin tehdä?

F5 julkaisi molemmista havoittuvuuksista omat tiedotteensa: CVE-2023-46747 (ulkoinen linkki) (Ulkoinen linkki) ja CVE-2023-46748 (ulkoinen linkki) (Ulkoinen linkki).