Пишут, что пошли атаки на F5 BIG-IP, использующие связку RCE CVE-2023–46747 и SQLi CVE-2023–46748. RCE уязвимости CVE-2023–46747 подвержен компонент BIG-IP Configuration utility (TMUI). Фикс вышел на прошлой неделе. Есть подробное описание и PoC от компании Praetorian. Есть шаблон для nuclei.
Уязвимы версии:
17.1.0 (Fixed in 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)
16.1.0 - 16.1.4 (Fixed in 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)
15.1.0 - 15.1.10 (Fixed in 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)
14.1.0 - 14.1.5 (Fixed in 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)
13.1.0 - 13.1.5 (Fixed in 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG)
Также в бюллетене для CVE-2023–46747 F5 пишут, что была замечена эксплуатация этой уязвимости вживую злоумышленникми в связке с SQLi CVE-2023–46748. Есть IOC‑и.
Эксплуатацию CVE-2023–46747 вживую с 30 октября также заметили на своих ханипотах The Shadowserver Foundation.
Уведомление: А как у нас дела с балансировщиками? | Александр В. Леонов
Уведомление: Продолжая тему атак на F5, страдают сейчас те, кто не привели в порядок свой периметр и выставляют туда админки непонятно зачем | Александр В.
Уведомление: Прожектор по ИБ, выпуск №10 (06.11.2023) с Иваном Шубиным: не суй TMUI, балансеры и Бесконечный VM | Александр В. Леонов