CVE-2023-46748

F5 BIG-IP Configuration Utility

ВЕРОЯТНОСТЬ 4.3%
Дата обнаружения

2023-10-31

Официальное описание

F5 BIG-IP Configuration utility contains an SQL injection vulnerability that may allow an authenticated attacker with network access through the BIG-IP management port and/or self IP addresses to execute system commands. This vulnerability can be used in conjunction with CVE-2023-46747.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-46748 представляет собой критическую уязвимость типа SQL-инъекция в интерфейсе конфигурации (Configuration Utility) F5 BIG-IP. Аутентифицированный злоумышленник, имеющий сетевой доступ к порту управления (Management Port) или Self IP-адресам, может внедрить вредоносный SQL-код.

Опасность данной уязвимости возрастает при использовании её в цепочке с CVE-2023-46747 (обход аутентификации). В такой связке неавторизованный атакующий получает возможность выполнять произвольные системные команды на уровне ОС (RCE), что ведет к полному компрометации устройства.

Как исправить

Основным способом устранения является обновление программного обеспечения BIG-IP до актуальных версий, в которых уязвимость была закрыта.

  1. Определите текущую версию системы.
  2. Установите соответствующее обновление из списка исправленных версий:
  3. BIG-IP 17.x: обновитесь до 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG или выше.
  4. BIG-IP 16.x: обновитесь до 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG или выше.
  5. BIG-IP 15.x: обновитесь до 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG или выше.
  6. BIG-IP 14.x: обновитесь до 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG или выше.
  7. BIG-IP 13.x: обновитесь до 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.8-ENG или выше.

Для установки обновлений используйте стандартную процедуру через Traffic Management Shell (tmsh) или GUI:

tmsh load sys config

Временные меры

Если немедленное обновление невозможно, необходимо ограничить доступ к Configuration Utility и применить скрипт митигации, предоставленный вендором.

  1. Ограничьте доступ к интерфейсу управления только для доверенных IP-адресов через встроенный брандмауэр.

  2. Запретите доступ к Configuration Utility через Self IP. Для каждого Self IP установите параметр Port Lockdown в значение 'Allow None' или 'Allow Custom' (исключив порт 443).

tmsh modify net self [self_ip_name] allow-service none
  1. Примените официальный скрипт митигации (для версий 14.1.0 и выше). Скачайте скрипт mitigation.sh с портала F5 и выполните его:
chmod +x mitigation.sh
./mitigation.sh
  1. Сохраните изменения конфигурации:
tmsh save sys config
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей