เมนู

อีกครั้ง F5 เตือนช่องโหว่วิกฤตใน BIG-IP ส่งผลให้ RCE ได้

3 พฤศจิกายน 2566 | กนิษฐา พุ่มผล

F5 Networks ประกาศเตือนผู้ดูแลระบบ BIG-IP ถึงความพยายามในการใช้ประโยชน์จากช่องโหว่ที่มีความรุนแรงระดับวิกฤต (Critical) 2 รายการ ซึ่งได้รับการเปิดเผยเมื่อไม่นานมานี้ โดยสามารถลบร่องรอย หลีกเลี่ยงการตรวจจับการเข้าถึงระบบและดำเนินการคำสั่งต่างๆ ในระบบได้ ส่งผลกระทบกับ F5 BIG-IP Utility ซึ่งยินยอมให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเข้าถึงและควบคุมจากระยะไกลด้วยสิทธิระดับรูทบนระบบ BIG-IP

ทั้งนี้ F5 ได้เผยแพร่คำแนะนําด้านความมั่นคงเกี่ยวกับช่องโหว่ CVE-2023-46747 (CVSS: 9.8) ที่ลักลอบนำเข้าผ่าน Apache JServ Protocol (AJP) Request ซึ่งสร้างผลกระทบให้แก่ผลิตภัณฑ์ F5 BIG-IP จัดเป็นช่องโหว่ระดับวิกฤตที่ยินยอมให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้คำสั่งด้วยสิทธิระดับรูทบนอุปกรณ์ที่มีช่องโหว่ โดยการลักลอบนําเข้า AJP ในลักษณะคล้ายกับ HTTP Request Smuggling ซึ่งอาศัยประโยชน์จากความบกพร่องของ Server Interpretation ในโปรโตคอล AJP และนําไปสู่สถานการณ์ที่ผู้โจมตีสามารถลักลอบนําเข้าหรือแทรกคําขอที่เป็นอันตราย ช่องโหว่นี้อาจก่อให้เกิดผลกระทบต่าง ๆ ตั้งแต่การเข้าถึงการควบคุมความปลอดภัย จนถึงการเข้าถึงโดยไม่ได้รับอนุญาต หรือแม้แต่การใช้คำสั่งโดยพลการ ทั้งนี้ ขึ้นอยู่กับการกําหนดค่าและสภาพแวดล้อมเฉพาะ

ผลิตภัณฑ์ F5 BIG-IP ถูกนำไปใช้งานในหลายองค์กรทั่วโลกเพื่อจัดการและรักษาความมั่นคงสำหรับการเข้าใช้บริการเว็บขององค์กร โดย F5 Traffic Management User Interface (TMUI) จัดเป็นองค์ประกอบสําคัญของระบบ F5 BIG-IP โดยทําหน้าที่เป็นส่วนติดต่อ Graphical User interface (GUI)  เพื่อให้ผู้ใช้งานมีแพลตฟอร์มที่ง่ายต่อการใช้งานทั้งด้านการจัดการและตรวจสอบฟังก์ชันการทํางาน ทั้งนี้ F5 TMUI จะทำการกําหนด HTTP Request ทั้งหมดไปยังบริการต่างๆ บน Backend และจะถูกส่งต่อไปยังบริการ Apache JServ Protocol (AJP) ผ่าน Port 8009

ทั้งนี้ ผู้เชี่ยวชาญจาก Praetorian Labs ได้พบช่องโหว่การลักลอบนําเข้า AJP ไปยังพาธ “/tmui” ที่อนุญาตให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถหลีกเลี่ยงการรับรองความถูกต้องและดําเนินการคําสั่งด้วยสิทธิ์รูท

นอกจากนี้ ในวันที่ 30 ตุลาคม ที่ผ่านมา F5 ยังได้สังเกตพบผู้โจมตีใช้ช่องโหว่ CVE-2023-46747 ร่วมกับช่องโหว่ CVE-2023-46748 (CVSS: 8.8) ซึ่งเป็นช่องโหว่ SQL Injection ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตน (Authentication) และเข้าถึง BIG-IP Configuration Utility สามารถสั่งการด้วยคำสั่งที่เป็นอันตรายต่อระบบได้โดยพลการ และจากหลักฐานที่ F5 รวบรวมได้จากอุปกรณ์ที่ถูกบุกรุก พบว่า กลุ่มผู้โจมตีเป็นผู้ที่มีทักษะสูง สามารถลบร่องรอยการทำงานและการเข้าถึงของพวกเขาได้

ระบบ หรือผลิตภัณฑ์ที่ได้รับผลกระทบ

คำแนะนำ หรือแนวทางแก้ไข

  • แนะนำให้ผู้ดูแลระบบของอุปกรณ์ F5 BIG-IP ตรวจสอบเวอร์ชันที่ได้รับผลกระทบ ทำการอัปเดตซอฟต์แวร์ให้ทันสมัยอยู่เสมอด้วยแพตช์ด้านความมั่นคงเวอร์ชั่นล่าสุด
  • F5 ได้จัดเตรียมคำแนะนำสำหรับผู้ดูแลระบบที่ไม่สามารถอัปเดตแพตซ์ด้านความมั่นคงได้ โดยศึกษาข้อมูลเพิ่มเติมได้ที่ F5

Indicators of Compromise (IOCs)

IoC ที่เกี่ยวข้องกับ CVE-2023-46748 โดยเฉพาะในไฟล์ /var/log/tomcat/catalina.out ที่มีตัวอย่างแบบฟอร์มต่อไปนี้:

{…}
java.sql.SQLException: Column not found: 0.
{…)
sh: no job control in this shell
sh-4.2$ <EXECUTED SHELL COMMAND>
sh-4.2$ exit.

ในตัวอย่าง ให้สังเกตสิ่งต่อไปนี้:

  • ในบรรทัดของ Column not found: 0 , 0 สามารถถูกแทนที่ด้วยตัวเลขอื่นได้
  • ในบรรทัดของ <EXECUTED SHELL COMMAND> คําสั่งจะถูกแทนที่ด้วยคําสั่งอื่นได้

อ้างอิง