3 พฤศจิกายน 2566 | กนิษฐา พุ่มผล
F5 Networks ประกาศเตือนผู้ดูแลระบบ BIG-IP ถึงความพยายามในการใช้ประโยชน์จากช่องโหว่ที่มีความรุนแรงระดับวิกฤต (Critical) 2 รายการ ซึ่งได้รับการเปิดเผยเมื่อไม่นานมานี้ โดยสามารถลบร่องรอย หลีกเลี่ยงการตรวจจับการเข้าถึงระบบและดำเนินการคำสั่งต่างๆ ในระบบได้ ส่งผลกระทบกับ F5 BIG-IP Utility ซึ่งยินยอมให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเข้าถึงและควบคุมจากระยะไกลด้วยสิทธิระดับรูทบนระบบ BIG-IP
ทั้งนี้ F5 ได้เผยแพร่คำแนะนําด้านความมั่นคงเกี่ยวกับช่องโหว่ CVE-2023-46747 (CVSS: 9.8) ที่ลักลอบนำเข้าผ่าน Apache JServ Protocol (AJP) Request ซึ่งสร้างผลกระทบให้แก่ผลิตภัณฑ์ F5 BIG-IP จัดเป็นช่องโหว่ระดับวิกฤตที่ยินยอมให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้คำสั่งด้วยสิทธิระดับรูทบนอุปกรณ์ที่มีช่องโหว่ โดยการลักลอบนําเข้า AJP ในลักษณะคล้ายกับ HTTP Request Smuggling ซึ่งอาศัยประโยชน์จากความบกพร่องของ Server Interpretation ในโปรโตคอล AJP และนําไปสู่สถานการณ์ที่ผู้โจมตีสามารถลักลอบนําเข้าหรือแทรกคําขอที่เป็นอันตราย ช่องโหว่นี้อาจก่อให้เกิดผลกระทบต่าง ๆ ตั้งแต่การเข้าถึงการควบคุมความปลอดภัย จนถึงการเข้าถึงโดยไม่ได้รับอนุญาต หรือแม้แต่การใช้คำสั่งโดยพลการ ทั้งนี้ ขึ้นอยู่กับการกําหนดค่าและสภาพแวดล้อมเฉพาะ
ผลิตภัณฑ์ F5 BIG-IP ถูกนำไปใช้งานในหลายองค์กรทั่วโลกเพื่อจัดการและรักษาความมั่นคงสำหรับการเข้าใช้บริการเว็บขององค์กร โดย F5 Traffic Management User Interface (TMUI) จัดเป็นองค์ประกอบสําคัญของระบบ F5 BIG-IP โดยทําหน้าที่เป็นส่วนติดต่อ Graphical User interface (GUI) เพื่อให้ผู้ใช้งานมีแพลตฟอร์มที่ง่ายต่อการใช้งานทั้งด้านการจัดการและตรวจสอบฟังก์ชันการทํางาน ทั้งนี้ F5 TMUI จะทำการกําหนด HTTP Request ทั้งหมดไปยังบริการต่างๆ บน Backend และจะถูกส่งต่อไปยังบริการ Apache JServ Protocol (AJP) ผ่าน Port 8009
ทั้งนี้ ผู้เชี่ยวชาญจาก Praetorian Labs ได้พบช่องโหว่การลักลอบนําเข้า AJP ไปยังพาธ “/tmui” ที่อนุญาตให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถหลีกเลี่ยงการรับรองความถูกต้องและดําเนินการคําสั่งด้วยสิทธิ์รูท
นอกจากนี้ ในวันที่ 30 ตุลาคม ที่ผ่านมา F5 ยังได้สังเกตพบผู้โจมตีใช้ช่องโหว่ CVE-2023-46747 ร่วมกับช่องโหว่ CVE-2023-46748 (CVSS: 8.8) ซึ่งเป็นช่องโหว่ SQL Injection ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตน (Authentication) และเข้าถึง BIG-IP Configuration Utility สามารถสั่งการด้วยคำสั่งที่เป็นอันตรายต่อระบบได้โดยพลการ และจากหลักฐานที่ F5 รวบรวมได้จากอุปกรณ์ที่ถูกบุกรุก พบว่า กลุ่มผู้โจมตีเป็นผู้ที่มีทักษะสูง สามารถลบร่องรอยการทำงานและการเข้าถึงของพวกเขาได้
IoC ที่เกี่ยวข้องกับ CVE-2023-46748 โดยเฉพาะในไฟล์ /var/log/tomcat/catalina.out ที่มีตัวอย่างแบบฟอร์มต่อไปนี้:
{…}
java.sql.SQLException: Column not found: 0.
{…)
sh: no job control in this shell
sh-4.2$ <EXECUTED SHELL COMMAND>
sh-4.2$ exit.
ในตัวอย่าง ให้สังเกตสิ่งต่อไปนี้:
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา