F5 avertit les administrateurs de BIG-IP que les appareils sont piratés par des pirates « qualifiés » exploitant deux vulnérabilités récemment révélées pour effacer les signes de leur accès et réaliser une exécution furtive de code.

F5 BIG-IP est une suite de produits et services offrant l’équilibrage de charge, la sécurité et la gestion des performances pour les applications en réseau. La plate-forme a été largement adoptée par de grandes entreprises et des organisations gouvernementales, ce qui fait que tout défaut du produit constitue une préoccupation majeure.

La semaine dernière, F5 a exhorté les administrateurs à appliquer les mises à jour de sécurité disponibles pour deux vulnérabilités récemment découvertes :

• CVE-2023-46747 – Faille de contournement d’authentification critique (score CVSS v3.1 : 9,8) permettant à un attaquant d’accéder à l’utilitaire de configuration et d’exécuter du code arbitraire.
• CVE-2023-46748 – Faille d’injection SQL de haute gravité (score CVSS v3.1 : 8,8) permettant à des attaquants authentifiés ayant un accès réseau à l’utilitaire de configuration d’exécuter des commandes système arbitraires.

Le 30 octobre, l’éditeur de logiciels a mis à jour les bulletins pour CVE-2023-46747 et CVE-2023-46748 pour alerter sur une exploitation active dans la nature.

« Ces informations sont basées sur les preuves que F5 a vues sur les appareils compromis, qui semblent être des indicateurs fiables », lit-on dans la mise à jour sur le bulletin.

« Il est important de noter que tous les systèmes exploités peuvent ne pas afficher les mêmes indicateurs et, en effet, un attaquant expérimenté peut être en mesure de supprimer les traces de son travail. »

« Il n’est pas possible de prouver qu’un appareil n’a pas été compromis ; en cas d’incertitude, vous devez considérer l’appareil comme compromis. »

CISA (Cybersecurity & Infrastructure Security Agency) a ajouté les deux vulnérabilités à son Catalogue KEV (Vulnérabilités Connues Exploitées)exhortant les agences du gouvernement fédéral à appliquer les mises à jour disponibles jusqu’au 21 novembre 2023.

Les versions impactées et corrigées sont indiquées ci-dessous :

• 17.1.0 (affecté), corrigé sur 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG et versions ultérieures
• 16.1.0 – 16.1.4 (affecté), corrigé sur 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG et versions ultérieures
• 15.1.0 – 15.1.10 (affecté), corrigé sur 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG et versions ultérieures
• 14.1.0 – 14.1.5 (affecté), corrigé sur 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG et versions ultérieures
• 13.1.0 – 13.1.5 (affecté), corrigé sur 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG et versions ultérieures

F5 a également publié un script permettant d’atténuer la faille RCE, dont les instructions d’utilisation peuvent être trouvées ici.

F5 a observé des acteurs malveillants utilisant les deux failles en combinaison, de sorte que même l’application de l’atténuation pour CVE-2023-46747 pourrait suffire à arrêter la plupart des attaques.

Pour obtenir des conseils sur la manière de rechercher des indicateurs de compromission (IoC) sur BIG-IP et de récupérer des systèmes compromis, consultez cette page Web.

Les IoC concernant spécifiquement CVE-2023-46748 sont des entrées dans le fichier /var/log/tomcat/catalina.out qui ont la forme suivante :

{...} java.sql.SQLException: Column not found: 0. {...) sh: no job control in this shell sh-4.2$ sh-4.2$ exit.

Étant donné que les attaquants peuvent effacer leurs traces en utilisant ces failles, les points de terminaison BIG-IP qui n’ont pas été corrigés jusqu’à présent doivent être traités comme compromis.

Par prudence, les administrateurs des appareils BIG-IP exposés doivent passer directement à la phase de nettoyage et de restauration.