Alert: F5 Warns of Active Attacks Exploiting BIG-IP Vulnerability
2023/11/01 TheHackerNews — F5 BIG-IP の深刻な脆弱性の公開から1週間も経たないうちに、悪用チェー ンの一部として任意のシステム・コマンド実行が生じる可能性のある、積極的な悪用に関する警告が発せられた。管理ポートを介して BIG-IP システムにネットワーク・アクセスできる未認証の攻撃者が、この脆弱性 CVE-2023-46747 (CVSS:9.8) の悪用に成功すると、コード実行が可能になる。それを証明する PoC エクスプロイトが、ProjectDiscovery から共有された。
この脆弱性は、以下のバージョンのソフトウェアに影響する。
- 17.1.0 (Fixed in 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)
- 16.1.0 – 16.1.4 (Fixed in 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)
- 15.1.0 – 15.1.10 (Fixed in 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)
- 14.1.0 – 14.1.5 (Fixed in 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)
- 13.1.0 – 13.1.5 (Fixed in 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG)
また F5 は、脆弱性 CVE-2023-46748 悪用する攻撃者を確認したと述べている。この脆弱性は、BIG-IP Configuration ユーティリティに存在する、認証済みの SQL インジェクションに起因する。
F5 のアドバイザリには、「この脆弱性により、BIG-IP 管理ポート/自己の IP アドレスを介して、Configuration ユーティリティにネットワーク・アクセスできる認証済みの攻撃者が、任意のシステム・コマンドを実行する可能性が生じる」と指摘している。
つまり、2つの脆弱性 CVE-2023-46747/CVE-2023-46748 を連鎖させる攻撃者は、任意のシステムコマンドを実行できることになる。この SQL インジェクションの脆弱性に関連する危険な兆候(IoC)をチェックするには、/var/log/tomcat/catalina.out ファイ内で、以下のような不審なエントリをチェックすることが推奨される:
-{…} java.sql.SQLException: Column not found: 0. {…) sh: no job control in this shell sh-4.2$ sh-4.2$ exit
Shadowserver Foundation は Twitter への投稿で、「2023年10月30日以降において、我々のハニーポット・センサーで、F5 BIG-IP CVE-2023-46747 の試行を確認している。したがって、修正プログラムを適用するために迅速に行動することが、ユーザーに対して強く推奨される」と述べている。
この F5 BIG-IP の脆弱性 CVE-2023-46747 ですが、第一報は 2023/10/27 の「F5 BIG-IP の認証バイパスの脆弱性 CVE-2023-46747 が FIX:RCE の可能性」となります。また、今日の記事と、ほぼ同じタイミングで、この脆弱性は CISA KEV に登録されました。
IoT OT Security News 
You must be logged in to post a comment.