F5 BIG-IP tuotteissa kriittinen haavoittuvuus - Hyväksikäyttöä havaittu

F5 on julkaissut päivitykset kahteen haavoittuvuuteen CVE-2023-46747 ja CVE-2023-46748, joiden avulla hyökkääjä voi suorittaa etänä komentoja järjestelmässä. Toinen haavoittuvuuksista on luokiteltu kriittiseksi. F5 suosittelee haavoittuvien järjestelmien päivittämistä.

F5 BIG-IP tuotteissa on löydetty kaksi haavoittuvuutta, joista toinen on luokiteltu kriittiseksi. Haavoittuvuuksien avulla hyökkääjä voi ilman tunnistautumista suorittaa haavoittuvassa järjestelmässä komentoja etänä. Haavoittuvuudet koskevat useita eri F5 BIG-IP versioita. F5 on julkaissut korjaavat päivitykset haavoittuvuuksiin sekä rajoituskeinoja, joilla toisen haavoittuvuuden hyväksikäyttöä voidaan pyrkiä estämään. Julkaistuja haavoittuvuuksia on käytetty hyväksi ja F5 antaa tiedotteessaan ohjeita haavoittuvuuksien hyväksikäytön selvittämiseen. Haavoittuvuuksien hyväksikäyttöön on myös julkaistu hyväksikäytön mahdollistava koodi.

Haavoittuvuudet koskevat organisaatioita, jotka käyttävät kyseistä tuotetta. Koska haavoittuvuuksia on jo hyväksikäytetty, on päivittäminen erityisen tärkeää. Kyberturvallisuuskeskus ottaa mielellään vastaan ilmoituksia, mikäli havaitsette tietoturvapoikkeamia kyseisiin haavoittuvuuksiin liittyen.

Haavoittuvuuden kohde

Haavoittuvat BIG IP versiot:

17.1.0 - 17.1.1
16.1.0 - 16.1.4
15.1.0 - 15.1.10
14.1.0 - 14.1.5
13.1.0 - 13.1.5

Mistä on kysymys?

Ylläpitäjiä suositellaan päivittämään järjestelmä versioihin joissa haavoittuvuudet on korjattu:

17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG3
17.1.1 + Hotfix-BIGIP-17.1.1.0.2.6-ENG3
16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG3
15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG3
14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG3
13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG3

F5 on myös julkaissut rajoituskeinoja heidän tiedotteessaan (ulkoinen linkki), joilla haavoittuvuuden CVE-2023-46747 hyväksikäyttöä voidaan pyrkiä estämään.

Haavoittuvuuksien hyväksikäytöstä voi nähdä jälkiä /var/log/tomcat/catalina.out lokitiedostossa. Mikäli lokitiedostosta löytyy seuraava merkintä, on hyväksikäyttöä todennäköisesti tapahtunut:

{...}
java.sql.SQLException: Column not found: 0.
{...)
sh: no job control in this shell
sh-4.2$ <EXECUTED SHELL COMMAND>
sh-4.2$ exit.

Lisätietoja hyväksikäytön selvittämiseen löytyy F5 julkaisemasta tiedotteesta (ulkoinen linkki).

Mitä voin tehdä?

F5 julkaisi molemmista havoittuvuuksista omat tiedotteensa: CVE-2023-46747 (ulkoinen linkki) ja CVE-2023-46748 (ulkoinen linkki).

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.