O provedor de soluções de segurança e entrega de aplicativos F5 alertou na quinta-feira os clientes sobre uma vulnerabilidade de gravidade crítica em seu produto BIG-IP.
Rastreado como CVE-2023-46747 (pontuação CVSS de 9,8) e afetando a interface do usuário de gerenciamento de tráfego da solução, a vulnerabilidade permite que um invasor não autenticado execute código arbitrário remotamente.
“Esta vulnerabilidade pode permitir que um invasor não autenticado com acesso de rede ao sistema BIG-IP através da porta de gerenciamento e/ou endereços IP próprios execute comandos arbitrários do sistema. Não há exposição ao plano de dados; este é apenas um problema do plano de controle”, explica F5 em um aviso.
De acordo com a Praetorian Security, que identificou o bug, CVE-2023-46747 é um problema de contrabando de solicitações que permite que um invasor não autenticado obtenha privilégios administrativos totais em um sistema BIG-IP impactado.
A falha, Pretoriano dizestá intimamente relacionado com CVE-2022-26377uma falha de contrabando de solicitações no servidor HTTP Apache e pode ser explorada para ignorar a autenticação e executar comandos como root.
Todos os sistemas BIG-IP com interface de usuário de gerenciamento de tráfego expostos à Internet são afetados por esta vulnerabilidade.
De acordo com F5, o problema está enraizado no componente do utilitário de configuração. As versões 13.x a 17.x do BIG-IP foram afetadas e a F5 lançou hotfixes para todas elas.
Um script de shell foi lançado para as versões 14.1.0 e posteriores do BIG-IP para mitigar o problema. Detalhes sobre como o script pode ser usado estão disponíveis no comunicado da F5.
De acordo com Praetorian, existem mais de 6.000 instâncias do aplicativo voltadas para a Internet, todas potencialmente em risco de exploração. Alguns deles pertencem a entidades governamentais e empresas Fortune 500.
Detalhes técnicos sobre esta vulnerabilidade serão divulgados depois que a maioria dos usuários do BIG-IP corrigirem suas instâncias.
Os usuários do BIG-IP são aconselhados a instalar os patches disponíveis o mais rápido possível. Deverão também restringir o acesso à interface do utilizador de gestão de tráfego.
“O portal em si não deveria ser acessível de forma alguma pela Internet pública”, observa Praetorian.
F5 não faz menção à exploração do CVE-2023-46747 em ataques maliciosos.