F5, BIG-IP yöneticilerinin, cihazların erişimlerinin işaretlerini silmek ve gizli kod yürütme elde etmek için yakın zamanda açıklanan iki güvenlik açıklarından yararlanan "yetenekli" bilgisayar korsanları tarafından ihlal edildiğini uyarıyor.
F5 BIG-IP, ağa bağlı uygulamalar için yük dengeleme, güvenlik ve performans yönetimi sunan bir ürün ve hizmet paketidir. Platform, büyük işletmeler ve hükümet kuruluşları tarafından yaygın olarak benimsenmiştir ve üründeki herhangi bir kusuru önemli bir endişe haline getirmektedir.
Geçen hafta F5, yöneticileri yeni keşfedilen iki güvenlik açığı için mevcut güvenlik güncellemelerini uygulamaya çağırdı:
30 Ekim'de yazılım satıcısı, vahşi doğada aktif sömürü hakkında uyarmak için CVE-2023-46747 ve CVE-2023-46748 için bültenleri güncelledi.
"Bu bilgi, F5'in güvenilir göstergeler gibi görünen uzlaşmış cihazlarda gördüğü kanıtlara dayanmaktadır."
Diyerek şöyle devam etti: "Sömürülen tüm sistemlerin aynı göstergeleri gösteremeyeceğini ve gerçekten de yetenekli bir saldırganın işlerinin izlerini kaldırabileceğini belirtmek önemlidir."
Diyerek şöyle devam etti: "Bir cihazın tehlikeye girmediğini kanıtlamak mümkün değil; herhangi bir belirsizlik olduğunda, cihazı tehlikeye attığınızı düşünmelisiniz."
CISA (Siber Güvenlik ve Altyapı Güvenlik Ajansı), federal hükümet ajanslarını mevcut güncellemeleri 21 Kasım 2023'e kadar uygulamaya çağıran KEV (bilinen sömürülen güvenlik açıkları) kataloğuna iki güvenlik açıkını ekledi.
Etkilenen ve sabit versiyonlar aşağıda verilmiştir:
F5 ayrıca, burada bulunabilecek kullanım talimatları olan RCE kusurunu azaltmaya yardımcı olan bir komut dosyası yayınladı.
F5, tehdit aktörlerini iki kusuru kombinasyon halinde kullandı, bu nedenle CVE-2023-46747 için hafifletmeyi uygulamak bile çoğu saldırıyı durdurmak için yeterli olabilir.
Big-IP'de uzlaşma göstergelerinin (IOCS) nasıl aranacağı ve tehlikeye atılan sistemlerin nasıl kurtarılacağı konusunda rehberlik için bu web sayfasına göz atın.
CVE-2023-46748 ile ilgili IOC'ler, aşağıdaki forma sahip olan /var/log/tomcat/catalina.out dosyasındaki girişlerdir:
{...} Java.sql.sqlexception: Sütun bulunamadı: 0. {...) SH: Bu kabukta iş kontrolü yok SH-4.2 $ SH-4.2 $ Çıkış.
Saldırganların bu kusurları kullanarak parçalarını silebileceği göz önüne alındığında, şimdiye kadar yamalı olmayan Big-IP uç noktaları tehlikeye atılmış olarak ele alınmalıdır.
Dikkat bol miktarda, maruz kalan BIG-IP cihazlarının yöneticileri doğrudan temizlik ve restorasyon aşamasına geçmelidir.
F5, uzaktan kod yürütme saldırılarına izin vererek Big-Ip Auth Bypass'ı düzeltir
Android Ekim Güvenlik Güncellemesi Saldırılarda Sömürülen Sıfır Günleri Düzeltiyor
Hackerlar, kurumsal ağları ihlal etmek için Minio Depolama Sistemini İstismar
Bilgisayar korsanları, dünya çapında Govt Networks'teki saldırılarda Citrix Bleed Kusur kullanıyor
3.000 Apache ActiveMQ sunucusu çevrimiçi olarak maruz kalan RCE saldırılarına karşı savunmasız
Kaynak: Bleeping Computer