F5 BIG-IP

ผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่บน F5 BIG-IP เพื่อใช้ในการโจมตีแบบ Stealthy

By admin News

F5 BIG-IP ได้แจ้งเตือนไปยังผู้ใช้งานระบบว่า มีผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ CVE-2023-46747 และ CVE-2023-46748 โดยทำการลบข้อมูลที่ใช้ในการติดตามการโจมตี เพื่อหลีกเลี่ยงการถูกตรวจพบจาก            ผู้ดูแลระบบ

F5 BIG-IP เป็นเครื่องมือและการบริการ Load Balancing ความปลอดภัย และการจัดการประสิทธิภาพสำหรับแอปพลิเคชันบนเครือข่าย โดยแพลตฟอร์มนี้ได้รับการยอมรับในการนำมาใช้งานในองค์กรใหญ่ ๆ                 และหน่วยงานรัฐ ดังนั้นถ้าพบช่องโหว่บนผลิตภัณฑ์นี้อาจส่งผลกระทบอย่างมาก จึงต้องได้รับการแก้ไขที่รวดเร็ว

F5 ได้แนะนำว่าให้ผู้ดูแลระบบควรที่จะอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ที่พบดังนี้:

  • CVE-2023-46747 (คะแนน CVSS v3.1: 9.8) การหลีกเลี่ยงการตรวจสอบการยืนยันตัวตนทำให้ผู้โจมตีเข้าถึงเครื่องมือในระบบได้
  • CVE-2023-46748 (คะแนน CVSS v3.1: 8.8) อาจมีการใส่ข้อมูลที่ไม่ปลอดภัยไปในระบบ SQL ทำให้       ผู้โจมตีที่มีการยืนยันตัวตน สามารถเข้าถึงเครื่องมือผ่านระบบเครือข่ายสามารถใช้งานคําสั่งในระบบได้

เวอร์ชันที่ได้รับผลกระทบและมีการแก้ไขดังนี้:

  • เวอร์ชัน 17.1.0 (ได้รับผลกระทบ), ได้รับการแก้ไขในเวอร์ชัน 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG และเวอร์ชันใหม่กว่า
  • เวอร์ชัน 16.1.0 – 16.1.4 (ได้รับผลกระทบ), ได้รับการแก้ไขในเวอร์ชัน 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG และเวอร์ชันใหม่กว่า
  • เวอร์ชัน 15.1.0 – 15.1.10 (ได้รับผลกระทบ), ได้รับการแก้ไขในเวอร์ชัน 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG และเวอร์ชันใหม่กว่า
  • เวอร์ชัน 14.1.0 – 14.1.5 (ได้รับผลกระทบ), ได้รับการแก้ไขในเวอร์ชัน 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG และเวอร์ชันใหม่กว่า
  • เวอร์ชัน 13.1.0 – 13.1.5 (ได้รับผลกระทบ), ได้รับการแก้ไขในเวอร์ชัน 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG และเวอร์ชันใหม่กว่า

IoCs ที่เกี่ยวกับ CVE-2023-46748 คือรายการในไฟล์ / var / log / tomcat / catalina.out ที่มีรูปแบบต่อไปนี้:

CVE-2023-46748

เนื่องจากผู้โจมตีสามารถลบข้อมูลที่ใช้สำหรับในการติดตามการโจมตีของตัวเอง โดยใช้ประโยชน์จากช่องโหว่นี้เพื่อเข้าถึงคอมพิวเตอร์ที่ยังไม่ได้รับการอัปเดตเวอร์ชันล่าสุด ดั้งนั้นผู้ดูแลระบบของอุปกรณ์ BIG-IP ควรดําเนินการอัปเดตเวอร์ชันล่าสุด

คำแนะนำ

  • ควรอัปเดตซอฟต์แวร์ F5 BIG-IP ให้เป็นเวอร์ชันล่าสุด
  • ควรติดตามข้อมูลข่าวสารจาก F5 BIG-IP เกี่ยวกับการแก้ไขช่องโหว่และอัปเดตแพตช์
  • ควรพัฒนาและอัปเดตความรู้แก่ทีมป้องกัน เพื่อที่จะสามารถตรวจจับและหยุดภัยคุกคามได้อย่างรวดเร็ว
  • ควรอัปเดตระบบปฏิบัติการและซอฟต์แวร์ป้องกันไวรัสอย่างเป็นประจำและสม่ำเสมอ 

Ref: https://www.bleepingcomputer.com/news/security/hackers-exploit-recent-f5-big-ip-flaws-in-stealthy-attacks/

Share