Компания уже выпустила исправления, а также предложила ряд временных решений для администраторов.
Транснациональная компания F5, специализирующаяся на услугах, связанных с интернет-сайтами и приложениями, предупредила своих клиентов о критической уязвимости в фирменном продукте BIG-IP, которая позволяет осуществлять удалённое выполнение кода без аутентификации.
Данная уязвимость, обнаруженная в компоненте утилиты конфигурации, получила идентификатор CVE-2023-46747 и была оценена по шкале CVSS в 9,8 из 10 возможных баллов.
Обнаружение уязвимости приписывают исследователям Майклу Веберу и Томасу Хендриксону из компании Praetorian, которые также выпустили свой подробный технический отчёт с нюансами работы CVE-2023-46747.
F5 уточнила: «Эта уязвимость может позволить неавторизованному злоумышленнику, имеющему сетевой доступ к системе BIG-IP через порт управления и / или собственные IP-адреса, выполнять произвольные системные команды». Проблема связана только с управляющим интерфейсом продукта.
Компанией были определены следующие уязвимые версии BIG-IP:
В качестве временного решения в F5 предложили использовать специальный скрипт , который можно применить, начиная с версии 14.1.0. Представители компании сделали акцент, что на версиях BIG-IP ниже 14.1.0 данный скрипт использовать не следует, чтобы не заполучить ещё больших проблем с экземплярами BIG-IP. Сам скрипт и инструкция по его использованию доступны на странице с рекомендациями компании.
Дополнительные рекомендации для пользователей включают следующие советы:
Стоит отметить, что CVE-2023-46747 является уже третьей по счёту уязвимостью, позволяющей удалённое выполнение кода без аутентификации, обнаруженной в пользовательском интерфейсе BIG-IP TMUI после CVE-2020-5902 и CVE-2022-1388 .
Живой, мертвый или в суперпозиции? Узнайте в нашем канале