เมนู

พบช่องโหว่ CRITICAL ใน F5 BIG-IP

20 ตุลาคม 2566 | กนิษฐา พุ่มผล

แจ้งเตือนจาก F5 Networks เผยแพร่อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ที่ส่งผลกระทบต่อผลิตภัณฑ์ BIG-IP (All Modules) ซึ่งช่องโหว่มีผลกระทบรุนแรงระดับ CRITICAL อาจก่อให้เกิดการเข้าถึงและการควบคุมอย่างไม่เหมาะสม และการเปิดเผยข้อมูล รวมถึงนำไปสู่การได้รับสิทธิ์ระดับเดียวกับ Service Account ที่ถูกโจมตีในขณะนั้น

F5 Network ได้ออกมาแจ้งเตือนและแก้ไขช่องโหว่ CVE-2023-41373 (CVSS 3.1: 9.9) เป็นช่องโหว่ประเภท Directory Traversal ใน BIG-IP Configuration Utility ที่อาจทําให้ผู้โจมตีที่ได้รับอนุญาตเข้าถึงได้สามารถรันคําสั่งบนระบบ BIG-IP ได้ สําหรับระบบ BIG-IP ที่ทํางานในโหมด Appliance และการโจมตีที่ประสบความสำเร็จสามารถทำให้ผู้โจมตีข้ามขอบเขตความปลอดภัยได้

ผู้โจมตีที่ได้รับอนุญาตรับรองความถูกต้องอาจใช้ประโยชน์จากช่องโหว่นี้โดยการส่งคําขอที่สร้างขึ้นไปยัง BIG-IP Configuration Utility หากการโจมตีสําเร็จผู้โจมตีจะสามารถรันคําสั่งบนระบบ BIG-IP ที่ทำงานในโหมด Appliance

ผู้โจมตีที่ได้รับอนุญาตอาจสามารถข้ามข้อจํากัดของโหมด Appliance ได้ โดยโหมด Appliance ถูกบังคับใช้สิทธิ์การอนุญาตเฉพาะ (Specific License) หรืออาจเปิด (Enabled) / ปิด (Disabled) การใช้งานสําหรับ Virtual Clustered Multiprocessing (vCMP) guest instances ซึ่งเป็นปัญหาที่เกี่ยวข้องกับแผนควบคุมเท่านั้น

ผลิตภัณฑ์/ซอฟต์แวร์ที่ได้รับผลกระทบ:

คำแนะนำ/วิธีการแก้ไข:

  • หากผู้ใช้บริการมีการใช้ผลิตภัณฑ์ F5 Network ที่แสดงอยู่ในตารางที่พบว่ามีช่องโหว่ดังกล่าว ทาง F5 แนะนําให้ทำการอัปเกรดเป็นเวอร์ชันที่มีการแก้ไขดังตาราง
  • หากการแก้ไขที่แนะนำในตารางแสดงรายการเวอร์ชันก่อนหน้าเวอร์ชันที่ใช้งาน แต่จัดอยู่ในกลุ่มเดียวกันกับเวอร์ชันที่มีช่องโหว่ สามารถทำการแก้ไขชั่วคราวได้ โดยจำกัดการเข้าถึงยูทิลิตีการกําหนดค่าเฉพาะเครือข่ายหรืออุปกรณ์ที่เชื่อถือได้เท่านั้น
    • บล็อกการเข้าถึงยูทิลิตีการกําหนดค่าผ่านที่อยู่ IP ด้วยตนเอง
    • บล็อกการเข้าถึงยูทิลิตีการกําหนดค่าผ่านอินเทอร์เฟซการจัดการ

ทั้งนี้ F5 Security Advisory ประกาศอ้างอิงหมายเลข K000135689 สําหรับติดตามข่าวสารเกี่ยวกับแพตช์ อัปเกรด หรือข้อมูลวิธีแก้ปัญหาที่แนะนําช่องโหว่ดังกล่าว

ที่มา/ข้อมูลอ้างอิง: