Uyarı: F5, BIG-IP güvenlik açığından yararlanan etkin saldırılara karşı uyarıyor
F5, kamuya açıklanmasından bir haftadan kısa bir süre sonra BIG-IP'deki kritik bir güvenlik açığının aktif olarak kötüye kullanıldığı konusunda uyarıda bulunuyor ve bu da bir istismar zincirinin parçası olarak rastgele sistem komutlarının yürütülmesine neden oluyor.
CVE-2023-46747 (CVSS puanı: 9.8) olarak izlenen güvenlik açığı, yönetim bağlantı noktası üzerinden BIG-IP sistemine ağ erişimi olan kimliği doğrulanmamış bir saldırganın kod yürütmesine olanak tanır. Kavram kanıtı (PoC) açığı o zamandan beri ProjectDiscovery tarafından kullanıma sunulmuştur.
Yazılımın aşağıdaki sürümlerini etkiler -
- 17.1.0 (17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG'de düzeltildi)
- 16.1.0 - 16.1.4 (16.1.4.1 + Düzeltme-BIGIP-16.1.4.1.0.50.5-ENG'de düzeltildi)
- 15.1.0 - 15.1.10 (15.1.10.2 + Düzeltme-BIGIP-15.1.10.2.0.44.2-ENG'de düzeltildi)
- 14.1.0 - 14.1.5 (14.1.5.6 + Düzeltme-BIGIP-14.1.5.6.0.10.6-ENG'de düzeltildi)
- 13.1.0 - 13.1.5 (13.1.5.1 + Düzeltme-BIGIP-13.1.5.1.0.20.2-ENG'de düzeltildi)
Şimdi şirket, BIG-IP Yapılandırma yardımcı programındaki kimliği doğrulanmış bir SQL enjeksiyon güvenlik açığına atıfta bulunan "bu güvenlik açığını kullanan tehdit aktörlerinin CVE-2023-46748'den yararlanmak için kullandığını gözlemlediği" konusunda uyarıyor.
F5, CVE-2023-46748 için bir danışma belgesinde, "Bu güvenlik açığı, BIG-IP yönetim bağlantı noktası ve/veya kendi IP adresleri aracılığıyla Yapılandırma yardımcı programına ağ erişimi olan kimliği doğrulanmış bir saldırganın rastgele sistem komutları yürütmesine izin verebilir" dedi (CVSS puanı: 8.8).
Başka bir deyişle, kötü aktörler rastgele sistem komutlarını çalıştırmak için iki kusuru zincirliyor. SQL ekleme kusuruyla ilişkili güvenlik ihlali göstergelerini (IoC'ler) kontrol etmek için, kullanıcıların aşağıdaki gibi şüpheli girişler için /var/log/tomcat/catalina.out dosyasını kontrol etmeleri önerilir:
{...}
java.sql.SQLException: Column not found: 0.
{...)
sh: no job control in this shell
sh-4.2$ <EXECUTED SHELL COMMAND>
sh-4.2$ exit.
Shadowserver Foundation, X'teki (eski adıyla Twitter) bir gönderide, 5 Ekim 2023'ten beri "bal küpü sensörlerimizde F46747 BIG-IP CVE-30-2023 denemeleri gördüğünü" ve kullanıcıların düzeltmeleri uygulamak için hızlı hareket etmelerini zorunlu hale getirdiğini söyledi.
Gelişme aynı zamanda ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nı (CISA), aktif istismar kanıtlarına dayanarak iki kusuru Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklemeye teşvik etti. Federal kurumların, satıcı tarafından sağlanan yamaları 21 Kasım 2023'e kadar uygulaması zorunludur.
Benzer Haberler
Cisco, Public PoC Exploit Release'den Sonra ISE Güvenlik Açığı Yamaları Düzeltti
CISA, 2019 ile 2024 yılları arasında yayımlanan 10 acil siber güvenlik direktifini emekliye kaldırdı
Çin Bağlantılı Hackerlar, VMware ESXi Zero-Days Uygulamasını Kullanarak Sanal Makinelerden Kaçtı
Cracked yazılımlar ve YouTube videoları CountLoader ve GachiLoader Zararlı Yazılımını Yaydı
Rusya Bağlantılı Hackerlar, Hesap Ele Geçirmeleri İçin Microsoft 365 Cihaz Kodu Oltalaması Kullanıyor
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor