Jetzt patchen! Attacken auf BIG-IP-Appliances beobachtet
F5 warnt vor Angriffen auf BIG-IP-Appliances. Sicherheitspatches stehen bereit. Eine Lücke gilt als kritisch.
Netzwerk-Admins, die BIG-IP-Appliances von F5 einsetzen, sollten zügig handeln: Derzeit nutzen unbekannte Angreifer zwei Sicherheitslücken aus, um auf Geräten eigene Befehle auszuführen. Der Netzwerkausrüster hat bereits Sicherheitsupdates veröffentlicht.
Laufende Angriffe
Die Lücken sind seit Ende Oktober 2023 bekannt. Nun hat F5 die zwei Warnmeldungen aktualisiert (CVE-2023-46747 „kritisch“, CVE-2023-46748 „hoch“) und warnt vor laufenden Attacken. Beide Schwachstellen betreffen das Konfigurationsprogramm von BIG-IP (all modules). Andere Produkte des Netzwerkausrüsters sind nach jetzigem Kenntnisstand nicht betroffen.
Zum Ausnutzen der kritischen Lücke benötigen Angreifer Netzwerkzugriff auf den Management-Port, aber keine Authentifizierung. Ist das gegeben, können sie eigene Befehle ausführen und Appliances kompromittieren.
Indicators of compromise
F5 gibt an, dass die Angreifer beide Lücken kombiniert ausnutzen. Um kompromittierte Systeme zu erkennen, sollten Admins unter /var/log/tomcat/catalina.out nach folgenden Einträgen Ausschau halten:
{...}
java.sql.SQLException: Column not found: 0.
{...)
sh: no job control in this shell
sh-4.2$ <EXECUTED SHELL COMMAND>
sh-4.2$ exit.
F5 weist aber darauf hin, dass Angreifer ihre Spuren verwischen können und Systeme auch ohne derartige Einträge kompromittiert sein können.
Die folgenden Ausgaben schließen die Sicherheitslücken:
- 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG
14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG
15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG
16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG
17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG
Für ältere Versionen stellt F5 ein Skript zur Verfügung, was das Konfigurationsprogramm am Start hindert und so den Angriffspunkt entfernt.
(des)