CVE-2023-46747: F5 BIG-IP – Уязвимость неавторизованного удаленного выполнения кода
26 октября 2023 года компания F5 опубликовала сообщение об уязвимости AJP Smuggling, обнаруженной в продуктах F5 BIG-IP. CVE-2023-46747 — это критическая уязвимость, позволяющая неаутентифицированным злоумышленникам выполнять произвольные команды от имени root на уязвимых устройствах. Уязвимость имеет рейтинг CVSS 9.8 (critical), и организациям рекомендуется произвести исправление затронутых ею платформ F5 BIG-IP.
Подробнее об уязвимости F5 BIG-IP CVE-2023-46747 и о том, как организации могут защититься от атак с использованием CVE-2023-46747 читайте далее.
Объяснение уязвимости AJP Smuggling
Apache JServ Protocol (AJP) — это двоичный протокол, предназначенный для прокси-серфинга входящих запросов от веб-сервера к серверу приложений, на котором выполняются Java-приложения. Этот протокол типичен для сред, где веб-сервер обрабатывает статический контент, а запросы на динамический контент перенаправляет на сервер приложений. AJP Smuggling, подобно HTTP Request Smuggling, использует различия в интерпретации серверами протокола AJP, что приводит к ситуации, когда злоумышленник может переслать или вставить вредоносные запросы, на которые сервер непреднамеренно реагирует. Эта уязвимость может иметь различные последствия, от обхода средств контроля безопасности до получения несанкционированного доступа или даже выполнения произвольного кода, в зависимости от конфигурации и конкретной среды. Поскольку AJP предназначен для внутреннего использования между доверенными серверами, ему часто не хватает необходимых средств контроля безопасности для проверки и санации запросов.
Уязвимость Apache Tomcat CVE-2020-1938также известная как Ghostcatявляется известным примером уязвимости AJP Smuggling. Ghostcat позволяет злоумышленникам читать или включать любые файлы в каталоги веб-приложений Tomcat через порт AJP, что приводит к разглашению информации или даже потенциальному выполнению удаленного кода, если сервер разрешает загрузку файлов.
Что такое F5 BIG-IP CVE-2023-46747 — Уязвимость удаленного выполнения кода?
Продукты F5 BIG-IP используются многими организациями по всему миру для управления и защиты веб-трафика. Пользовательский интерфейс F5 Traffic Management User Interface (TMUI) является неотъемлемым компонентом системы F5 BIG-IP. Он служит графическим интерфейсом пользователя (GUI), который предоставляет пользователям интуитивно понятную платформу для управления и мониторинга многих функциональных возможностей системы BIG-IP. F5 TMUI направляет все HTTP-запросы к различным службам на внутренней стороне, а запросы к конечным точкам «/tmui» перенаправляются в службу Apache JServ Protocol (AJP), прослушивающую порт 8009.
Исследователи безопасности из Praetorian Labs обнаружили AJP уязвимость в конечной точке «/tmui», которая позволяет неавторизованным злоумышленникам обойти аутентификацию и выполнить команды с привилегиями root. CVE-2023-46747 имеет оценку CVSS 9.8 (критическая).
Устранение уязвимости к удаленному выполнению кода F5 BIG-IP — CVE-2023-46747
F5 выпустила исправления для уязвимых продуктов F5 BIG-IP. Организациям рекомендуется как можно быстрее установить исправления на свои уязвимые продукты F5 BIG-IP. Уязвимые продукты перечислены ниже.
| Продукт | Уязвимая версия | Исправленная версия |
| F5 BIG-IP (все модули) | 17.1.0 | 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG3 |
| 16.1.0 — 16.1.4 | 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG3 | |
| 15.1.0 — 15.1.10 | 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG3 | |
| 14.1.0 — 14.1.5 | 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG3 | |
| 13.1.0 — 13.1.5 | 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG3 |
Если установка горячих исправлений недоступна, организации могут воспользоваться приведенными ниже мерами в качестве временных средств защиты от атак CVE-2023-46747.
- Блокировка доступа к утилите конфигурации
Уязвимым компонентом F5 BIG-IP является утилита конфигурации. Доступ к утилите конфигурации должен быть ограничен только доверенными пользователями и устройствами через защищенную сеть. Изменив параметр Блокировка Портов (Port Lockdown) на «Разрешить ни одного» (Allow None) для каждого собственного IP-адреса, доступ к утилите Конфигурации можно ограничить.
Организациям рекомендуется заблокировать или ограничить доступ к утилите конфигурации через собственные IP-адреса и интерфейс управления.
Как Picus помогает моделировать атаки F5 BIG-IP CVE-2023-46747?
Мы также настоятельно рекомендуем смоделировать уязвимость F5 BIG-IP CVE-2023-46747чтобы проверить эффективность ваших средств защиты от сложных кибератак с помощью Picus The Complete Security Validation Platform. Вы также можете протестировать свою защиту от других атак с использованием уязвимостей, таких как Log4Shell, Looney Tunables и ProxyShell, за считанные минуты с помощью платформы Picus.
Понимание эффективности собственной инфраструктуры безопасности становится все более важным в мире, где угрозы и уязвимости развиваются с невероятной скоростью. В этом контексте решения компании Picus Security играют ключевую роль. Они помогают организациям не только идентифицировать и ликвидировать потенциальные слабые места в своих системах безопасности, но и оценивают, насколько эффективно средства безопасности могут противостоять реальным атакам в реальном времени, что обеспечивает необходимый уровень защиты и уверенности.
iIT Distribution является официальным дистрибьютором компании Picus Security в Украине, Узбекистане и Казахстане. Заполняйте короткую контактную форму на нашем сайте и протестируйте The Complete Security Validation Platform в действии.
