Архив метки: BigIP

Прожектор по ИБ, выпуск №10 (06.11.2023) с Иваном Шубиным: не суй TMUI, балансеры и Бесконечный VM

Прожектор по ИБ, выпуск №10 (06.11.2023) с Иваном Шубиным: не суй TMUI, балансеры и Бесконечный VM. Записали новый эпизод с небольшим опозданием, но в усиленном составе:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"
🔸 Иван Шубин

00:00 Здороваемся и смотрим статистику по просмотрам. Меньше 100 просмотров за неделю не набрали - печаль. 😔
02:33 Лев сходил на конференцию Норникеля "обратного типа", где ему подарили табличку, а также провёл бесплатную ПоИБэшечку
09:29 RCE и SQLi в F5 BIG-IP. "Не суй наружу свой TMUI"
12:34 Опрос "Что вы используете в качестве балансировщика нагрузки в вашей организации (в России)?"
19:13 Атаки на Госуслуги в Германии и России. У нас-то получше ситуация
20:23 Вайпилка для Confluence
25:35 RCE в Apache ActiveMQ
27:55 У Битрикс обнаружили 8 уязвимостей, в их числе RCE
31:14 Активность небезызвестного ботнета Mozzi ушла в небытие
32:34 Более 40 стран навсегда откажутся от уплаты выкупов хакерам-вымогателям
36:10 Мем недели: Решил выпускник ВУЗа выбрать, каким направлением ИБ он будет заниматься…
38:00 Аниме-новелла про Управление Уязвимостями? Обсуждаем, что бы это могла быть за игра, выбираем варианты на первом "скриншоте", приглашаем поучаствовать в разработке 😉
46:16 Скарлетт Йоханссон судится с разработчиками приложения, использовавшего ее голос без разрешения
49:50 Прощание от Максима Хараска и лучи добра для chaikae!

А как у нас дела с балансировщиками?

А как у нас дела с балансировщиками? В последнем Прожекторе по ИБ я высказал предположение, что NetScaler ADC/Citrix ADC уже для России неактуален, т.к. их и так мало было, а у кого было - те уже мигрировали. На что Лев Палей мне возразил, что решения Citrix для балансировки были очень популярны и наверняка ещё много где есть. Давайте попробуем навести какую-то статистику по балансироващикам нагрузки в России. Опять же в контексте уязвимости F5 BIG-IP интересно.

Накинули командой Прожектора такие опции:

- Citrix NetScaler ADC
- F5 BIG-IP
- VMware NSX Advanced Load Balancer
- Microsoft NLBS
- Nginx Plus
- Nginx OSS
- Angie PRO / Angie OSS (вместе, т.к. у Телеграмма ограничение по количеству опций 🤷‍♂️)
- Другое иностранное решение
- Другое отечественное решение

Продолжая тему атак на F5, страдают сейчас те, кто не привели в порядок свой периметр и выставляют туда админки непонятно зачем

Продолжая тему атак на F5, страдают сейчас те, кто не привели в порядок свой периметр и выставляют туда админки непонятно зачем.

Praetorian пишут:

"Кроме того, полностью ограничьте доступ к порталу TMUI. Сам портал вообще не должен быть доступен из Интернета. Помимо CVE в этом блоге, за последние три года исследователи обнаружили две уязвимости удаленного выполнения кода без аутентификации на портале TMUI. Если вашей организации требуется доступ к порталу TMUI через Интернет, убедитесь, что доступ возможен только из внутренней сети или через VPN-соединение."

Та же тема и с Cisco ISE XE (CVE-2023-20198), и со множеством уязвимостей Confluence (CVE-2023-22515 или вчерашней CVE-2023-22518), и т.д. Чем меньше сервисов на периметре, тем меньше будет головной боли.

Пишут, что пошли атаки на F5 BIG-IP, использующие связку RCE CVE-2023-46747 и SQLi CVE-2023-46748

Пишут, что пошли атаки на F5 BIG-IP, использующие связку RCE CVE-2023-46747 и SQLi CVE-2023-46748

Пишут, что пошли атаки на F5 BIG-IP, использующие связку RCE CVE-2023-46747 и SQLi CVE-2023-46748. RCE уязвимости CVE-2023-46747 подвержен компонент BIG-IP Configuration utility (TMUI). Фикс вышел на прошлой неделе. Есть подробное описание и PoC от компании Praetorian. Есть шаблон для nuclei.

Уязвимы версии:

17.1.0 (Fixed in 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG)
16.1.0 - 16.1.4 (Fixed in 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG)
15.1.0 - 15.1.10 (Fixed in 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG)
14.1.0 - 14.1.5 (Fixed in 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG)
13.1.0 - 13.1.5 (Fixed in 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG)

Также в бюллетене для CVE-2023-46747 F5 пишут, что была замечена эксплуатация этой уязвимости вживую злоумышленникми в связке с SQLi CVE-2023-46748. Есть IOC-и.

Эксплуатацию CVE-2023-46747 вживую с 30 октября также заметили на своих ханипотах The Shadowserver Foundation.