Kritična ranjivost u konfiguracijskom alatu F5 BIG-IP
Dana 26. listopada 2023., F5 je izdao sigurnosno upozorenje za kritičnu ranjivost koja utječe na BIG-IP i omogućava korisniku izvršavanje udaljenog koda (engl. remote code execution). Ranjivost je identificirana kao CVE-2023-46747 s ocjenom CVSS 9,8 od 10.
Tehnički detalji ključne ranjivosti popravljene ovim ažuriranjem:
Ranjivost CVE-2023-46747 omogućuje neovlaštenom napadaču s mrežnim pristupom BIG-IP sustavu putem upravljačkog porta i/ili IP adresa izvršavanje proizvoljnih sistemskih naredbi sustava. Ranjivost se nalazi u komponenti konfiguracijskog alata zahvaćenih verzija.
Zahvaćeni proizvodi:
Svi modeli BIG-IP su pogođeni.
Softverske verzije koje su dosegle kraj tehničke podrške (engl. End of Technical Support - EoTS) nisu navedene.
|
Verzije poznate kao ranjive
|
Ispravljeno u verziji
|
|
17.1.0
|
17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG
|
|
16.1.0 - 16.1.4
|
16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG
|
|
15.1.0 - 15.1.10
|
15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG
|
|
14.1.0 - 14.1.5
|
14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG
|
|
13.1.0 - 13.1.5
|
13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG
|
Softverske verzije koje su dosegle kraj tehničke podrške (engl. End of Technical Support - EoTS) nisu navedene.
Ublažavanje štetnih posljedica povezanih s ranjivosti:
F5 je pružio skriptu prilagođenu za ublažavanje identificiranog problema na pogođenim proizvodima verzije 14.1.0 i novije. Skripta vrši potrebne prilagodbe konfiguracijskih datoteka.
Važno je ne pokretati skriptu na softverskim verzijama ispod 14.1.0.
Privremena rješenja:
S obzirom da je ranjiva komponenta konfiguracijski alat, F5 je pružio dva privremena rješenja:
- blokirati pristup konfiguracijskom alatu putem IP adrese samog uređaja;
- blokirati pristup konfiguracijskom alatu putem upravljačkog sučelja.
Preporuke:
Preporuka je žurno ažuriranje zahvaćenih uređaja na najnovije dostupne verzije ili primjena pruženih ublažavanja i privremenih rješenja kada ažuriranje nije moguće.
Više informacija moguće je pročitati na poveznicama u nastavku:
[inicijalna objava: 31.10.2023 - 09:55]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o provedbi Uredbe (EU) 2019/881 Europskog parlamenta i Vijeća od 17. travnja 2019. (Zakon o provedbi kibernetičke sigurnosne certifikacije)
- Odluka o provedbi Odluke br. 1104/2011/EU Europskog parlamenta i Vijeća od 25. listopada 2011. o pravilima za pristup javno reguliranoj usluzi koju pruža globalni navigacijski satelitski sustav uspostavljen u sklopu programa Galileo
- Smjernice za postupanje s neklasificiranim podacima