Blog:

De geschiedenis van 30 jaar cybersecurity

Lees verder

Pinewood Security Bulletin – F5 critical vulnerability in Configuration Utility (CVE-2023-46747)

For English, see below.

Beschrijving

Op 26 oktober 2023 heeft F5 Networks een kritische kwetsbaarheid bekend gemaakt in de Configuration Utility (= web-beheerinterface) van de TMOS [LINK]. Dit betreft de BIG-IP appliances, de BIG-IP Virtual Editions en de VIPRION appliances.

Een ongeauthentiseerde aanvaller is hierdoor in staat willekeurige commando’s uit te voeren op de BIG-IP/VIPRION. De CVSS-score voor deze kwetsbaarheid is: 9.8. Een aanvaller moet wel eerst netwerk-toegang krijgen tot de Configuration Utility. Dat kan via de BIG-IP management-interface of via een opengesteld self IP-adres op een van de aangesloten VLAN’s.

De kwetsbaarheid is door een externe partij aan F5 gemeld (responsible disclosure). Het is niet bekend of de kwetsbaarheid op dit moment actief wordt aangevallen.

Kwetsbare versies

Alle TMOS-versies van de F5 BIG-IP zijn kwetsbaar: TMOS 13.x t/m TMOS 17.x. Hoogstwaarschijnlijk is de kwetsbaarheid ook van toepassing op oudere TMOS-versies (9.x t/m 12.x). Omdat deze geen technische ondersteuning van F5 meer ontvangen, doet F5 geen uitspraak over deze oude versies.

Oplossingen en tijdelijke mitigaties

Voor TMOS-versie 14.1 en hoger is een mitigatie (shell-)script beschikbaar, waarmee de kwetsbaarheid onschadelijk gemaakt wordt. Pas deze mitigatie niet toe op oudere versies van TMOS, omdat dan de Configuration Utility niet meer opstart.

F5 Networks heeft ook een Engineering HotFix (EHF) beschikbaar gesteld voor de meest recente TMOS-versies: 13.1.5.1, 14.1.5.6, 15.1.10.2, 16.1.4.1 en 17.1.0.3.

Pinewood adviseert de management-toegang tot de BIG-IP/VIPRION te beperken tot vertrouwde netwerken en gebruikers. Dit betreft toegang tot de management-interface en toegang via een self IP-adres van één van de aangesloten VLAN’s. Advies is de ‘Port Lockdown’ hiervan op ‘Allow None’ te configureren, op betreffende self IP’s (indien mogelijk).

Meer informatie

Zie AskF5 “K000137353: BIG-IP Configuration utility unauthenticated remote code execution vulnerability CVE-2023-46747” [LINK].

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 3633 en via support@pinewood.nl.

===== ENGLISH =====

Description

On October 26, 2023, F5 Networks has announced a critical security vulnerability that affects the Configuration Utility (= web configuration interface) [LINK]. This concerns BIG-IP appliances, BIG-IP Virtual Editions, and the VIPRION appliances.

This vulnerability may allow an unauthenticated attacker with network access to the BIG-IP/VIPRION system through the Configuration Utility to execute arbitrary system commands. The CVSS score for this vulnerability has been rated at 9.8. An attacker must first get access to the Configuration Utility through the management interface or an exposed self IP address on the BIG-IP/VIPRION.

The vulnerability has been reported to F5 by a third party (responsible disclosure). It is unknown if the vulnerability is currently being exploited.

Vulnerable versions

All TMOS versions are vulnerable: TMOS 13.x through TMOS 17.x. F5 evaluates only software versions that have not yet reached the End of Technical Support (EoTS) phase of their lifecycle. Hence, it is best to assume older TMOS versions are also vulnerable: 9.x through 12.x.

Solutions and workarounds

For TMOS versions 14.1 and later, a (shell) script is available to mitigate the vulnerability. This script must not be used on any TMOS version prior to 14.1.0 or it will prevent the Configuration Utility from starting.

F5 Networks has prepared an Engineering HotFix (EHF) for the most recent TMOS versions: 13.1.5.1, 14.1.5.6, 15.1.10.2, 16.1.4.1, and 17.1.0.3. It is available for download on the F5 support site.

Pinewood recommends restricting access to the management network and to the BIG-IP/VIPRION itself to trusted users only. This concerns access to the management interface as well as any exposed self IP address on any of the VLANs. Unless required otherwise, it is highly recommended to set the ‘Port Lockdown’ to ‘Allow None’ on applicable self IP addresses.

More information

See AskF5 “K000137353: BIG-IP Configuration utility unauthenticated remote code execution vulnerability CVE-2023-46747” [LINK].

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 3633 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl