Carding 4 Carders
Professional
F5 - это предупреждение, или активное злоупотребление, или критический недостаток безопасности в BIG-IP менее чем через неделю после его публичного раскрытия, приводящий к выполнению произвольных системных команд как части цепочки эксплойтов.
Отслеживаемая как CVE-2023-46747 (оценка CVSS: 9,8), уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, имеющему сетевой доступ к системе BIG-IP через порт управления для выполнения кода. С тех пор bone стал доступен на ProjectDiscovery как эксплойт проверки концепции (PoC).
Это влияет на следующие версии программного обеспечения -
"Эта уязвимость может позволить аутентифицированному злоумышленнику, имеющему сетевой доступ к утилите настройки через порт управления BIG-IP и / или собственные IP-адреса, выполнять произвольные системные команды", - отметил F5 в рекомендациях для CVE-2023-46748 (оценка CVSS: 8,8).
Другими словами, злоумышленники объединяют два недостатка в цепочку для выполнения произвольных системных команд. Чтобы проверить наличие индикаторов или компрометации (IOC), связанных с ошибкой SQL-инъекции, пользователям рекомендуется проверить файл /var/log/tomcat/catalina.out на наличие подозрительных записей, подобных приведенным ниже -
{...}
java.sql.SQLException: Столбец не найден: 0.
{...)
sh: в этой оболочке нет управления заданиями
sh-4.2 $ <ВЫПОЛНЯЕМАЯ КОМАНДА ОБОЛОЧКИ>
sh-4.2 $ выход.
Фонд Shadowserver Foundation в сообщении на X (ранее Twitter) сказал, что с 30 октября 2023 года он "видит попытки F5 BIG-IP CVE-2023-46747 в наших датчиках honeypot", что делает крайне важным, чтобы пользователи быстро применяли исправления.
Разработка также способствовала тому, что Агентство кибербезопасности и безопасности инфраструктуры США (CISA) добавило эти два недостатка в свой каталог известной эксплуатируемой защиты (KEV), основанный на доказательствах активной эксплуатации. Федеральным агентствам поручено применить исправления, предоставленные поставщиком, 21 ноября 2023 года.
Отслеживаемая как CVE-2023-46747 (оценка CVSS: 9,8), уязвимость позволяет злоумышленнику, не прошедшему проверку подлинности, имеющему сетевой доступ к системе BIG-IP через порт управления для выполнения кода. С тех пор bone стал доступен на ProjectDiscovery как эксплойт проверки концепции (PoC).
Это влияет на следующие версии программного обеспечения -
- 17.1.0 (Исправлено в 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-РУССКИЙ)
- 16.1.0 - 16.1.4 (Исправлено в 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-РУССКИЙ)
- 15.1.0 - 15.1.10 (Исправлено в 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-РУССКИЙ)
- 14.1.0 - 14.1.5 (Исправлено в 14.1.5.6 + исправлении-BIGIP-14.1.5.6.0.10.6-RU)
- 13.1.0 - 13.1.5 (Исправлено в 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-РУССКИЙ)
"Эта уязвимость может позволить аутентифицированному злоумышленнику, имеющему сетевой доступ к утилите настройки через порт управления BIG-IP и / или собственные IP-адреса, выполнять произвольные системные команды", - отметил F5 в рекомендациях для CVE-2023-46748 (оценка CVSS: 8,8).
Другими словами, злоумышленники объединяют два недостатка в цепочку для выполнения произвольных системных команд. Чтобы проверить наличие индикаторов или компрометации (IOC), связанных с ошибкой SQL-инъекции, пользователям рекомендуется проверить файл /var/log/tomcat/catalina.out на наличие подозрительных записей, подобных приведенным ниже -
{...}
java.sql.SQLException: Столбец не найден: 0.
{...)
sh: в этой оболочке нет управления заданиями
sh-4.2 $ <ВЫПОЛНЯЕМАЯ КОМАНДА ОБОЛОЧКИ>
sh-4.2 $ выход.
Фонд Shadowserver Foundation в сообщении на X (ранее Twitter) сказал, что с 30 октября 2023 года он "видит попытки F5 BIG-IP CVE-2023-46747 в наших датчиках honeypot", что делает крайне важным, чтобы пользователи быстро применяли исправления.
Разработка также способствовала тому, что Агентство кибербезопасности и безопасности инфраструктуры США (CISA) добавило эти два недостатка в свой каталог известной эксплуатируемой защиты (KEV), основанный на доказательствах активной эксплуатации. Федеральным агентствам поручено применить исправления, предоставленные поставщиком, 21 ноября 2023 года.
