CVE-2023-46747

F5 BIG-IP Configuration Utility

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-10-31

Официальное описание

F5 BIG-IP Configuration utility contains an authentication bypass using an alternate path or channel vulnerability due to undisclosed requests that may allow an unauthenticated attacker with network access to the BIG-IP system through the management port and/or self IP addresses to execute system commands. This vulnerability can be used in conjunction with CVE-2023-46748.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-46747 представляет собой критическую уязвимость обхода аутентификации (Authentication Bypass) в интерфейсе управления F5 BIG-IP (Configuration Utility / TMUI). Проблема вызвана некорректной обработкой специфических HTTP-запросов через альтернативные пути (AJP-протокол), что позволяет неавторизованному злоумышленнику, имеющему сетевой доступ к порту управления или Self IP, получить полный административный доступ. В сочетании с CVE-2023-46748 данная брешь позволяет выполнять произвольные системные команды (RCE) с правами root.

Как исправить

Основным способом устранения является обновление программного обеспечения BIG-IP до актуальных версий, в которых уязвимость устранена.

  1. Определите текущую версию системы:
tmsh show sys version
  1. Установите соответствующее исправление (Hotfix) или обновитесь до безопасной версии:
  2. 17.1.0 -> Обновиться до 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG
  3. 16.1.0 -> Обновиться до 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG
  4. 15.1.0 -> Обновиться до 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG
  5. 14.1.0 -> Обновиться до 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG
  6. 13.1.0 -> Обновиться до 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG

Временные меры

Если немедленное обновление невозможно, необходимо применить скрипт митигации, предоставленный вендором, который ограничивает доступ к уязвимому компоненту Apache JServ Protocol (AJP).

  1. Скачайте официальный скрипт митигации mitigation.sh с портала F5 MySupport.

  2. Запустите скрипт на уязвимом устройстве:

chmod +x mitigation.sh
./mitigation.sh
  1. В качестве альтернативы (или дополнения) ограничьте доступ к Configuration Utility (порт 443) только для доверенных IP-адресов через системный экран:
tmsh modify sys httpd allow replace { 10.0.0.0/8 }
tmsh save sys config
  1. Запретите доступ к интерфейсу управления через Self IP, установив параметр Port Lockdown в режим "Allow None" или "Allow Specific" (исключив TCP 443):
tmsh modify net self [self_ip_name] allow-service none
tmsh save sys config
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей