f5 big-ip'te kritik rce açığı ve 14 bin cihaz hala açıkta duruyor
arkadaşlar, f5 big-ip apm kullananlar toplanın buraya. shadowserver’ın son taramasında internette 14 binden fazla big-ip apm cihazı hala açıkta duruyor ve kritik bir uzaktan kod çalıştırma (rce) açığına karşı savunmasız. bu açık aktif olarak sömürülüyor yani teorik bir şey değil, gerçek saldırılar var.
ne olmuş yani?
f5 big-ip application policy manager (apm) üzerinde kritik seviyede bir rce zafiyeti var. CVE-2023-46747 numaralı bu açık, cvss skoru 9.8 olan bir canavar. yani kritik, acil yamala kategorisinde.
saldırganlar bu açığı kullanarak kimlik doğrulaması yapmadan, yani kullanıcı adı şifre falan gerekmeden, sisteme komut çalıştırabiliyorlar. düşünün yani, internetten erişilebilir bir big-ip buluyorsunuz, bu açığı kullanıyorsunuz ve hop root yetkisiyle sistem sizin.
spoiler: shadowserver’ın taramasına göre 14,000’den fazla cihaz hala yamasız durumda. bunların büyük kısmı apm modülü aktif olan cihazlar.
teknik detaylar
CVE-2023-46747 açığı, big-ip apm’in configuration utility’sinde bulunuyor. kimlik doğrulaması gerektirmeyen (unauthenticated) bir açık olduğu için saldırgan hiçbir bilgiye ihtiyaç duymadan saldırıyı gerçekleştirebiliyor.
saldırı vektörü:
- network üzerinden erişilebilir (network vector)
- kimlik doğrulama gerektirmiyor (no authentication required)
- kullanıcı etkileşimi gerekmiyor (no user interaction)
- tam sistem kontrolü sağlanabiliyor (complete compromise)
etkilenen sistemler
| Sistem/Versiyon | Durum |
|---|---|
| BIG-IP 17.1.x | ✅ Etkileniyor |
| BIG-IP 16.1.x | ✅ Etkileniyor |
| BIG-IP 15.1.x | ✅ Etkileniyor |
| BIG-IP 14.1.x | ✅ Etkileniyor |
| BIG-IP 13.1.x | ✅ Etkileniyor |
| Yamalı versiyonlar | ❌ Güvende |
dikkat: sadece apm modülü aktif olan cihazlar etkileniyor. ama apm kullanıyorsanız kesinlikle yamalayın.
şimdi ne yapacaksınız
agalar, f5 bu açık için yama yayınladı. hemen kontrol edin ve güncelleyin:
# önce big-ip versiyonunuzu kontrol edin
tmsh show sys version
# apm modülünün aktif olup olmadığını kontrol edin
tmsh list sys provision apm
# eğer "level nominal" veya "level dedicated" görüyorsanız apm aktif demektir
# yamayı f5 support portalından indirin ve yükleyin
# her versiyon için uygun yamayı seçin
yama versiyonları
f5’in yayınladığı güncel versiyonlara geçin:
- 17.1.1 ve sonrası
- 16.1.4.1 ve sonrası
- 15.1.10.2 ve sonrası
- 14.1.5.6 ve sonrası
- 13.1.5.2 ve sonrası
edit: yama uygulamadan önce mutlaka ucs backup alın. sonra sistem açılmazsa bana sormayın:
# backup alalım önce
tmsh save sys ucs /var/local/ucs/backup-before-patch.ucs
geçici çözümler
yamayı hemen uygulayamayacak olanlar için (ama ertelemeyin ha):
1. apm erişimini kısıtlayın:
# management interface'e sadece güvenilir ip'lerden erişim verin
tmsh modify sys httpd allow replace-all-with { 192.168.1.0/24 10.0.0.0/8 }
# apm'i internete açmayın, vpn arkasına alın
2. waf kuralları ekleyin: eğer önünüzde bir waf varsa, big-ip management interface’ine giden trafiği filtreleyin.
3. network segmentasyonu: big-ip management interface’ini production network’ten ayırın. sadece jump server’lardan erişilebilir yapın.
ama bunlar geçici çözüm, asıl çözüm yamalamak.
saldırı göstergeleri
sistemlerinizde şunları kontrol edin:
# şüpheli http isteklerini kontrol edin
grep -i "tmui" /var/log/httpd/access_log | grep -E "(POST|GET)"
# beklenmeyen process'leri kontrol edin
ps aux | grep -v grep | grep -E "(bash|sh|nc|curl|wget)"
# yeni oluşturulan kullanıcıları kontrol edin
tmsh list auth user
# cron job'larda garip şeyler var mı
crontab -l
cat /etc/cron.d/*
eğer saldırıya uğradıysanız:
- cihazı network’ten izole edin
- forensic image alın
- incident response ekibinizi devreye sokun
- temiz bir backup’tan restore edin
- yamayı uygulayın
- tüm credential’ları değiştirin
cisa uyarısı
spoiler: cisa (amerikan siber güvenlik kurumu) bu açığı “known exploited vulnerabilities” kataloğuna ekledi. yani resmi olarak “bu açık sömürülüyor, acil yamalayın” demişler.
federal kurumlar için deadline var ama siz de beklemeden yamalayın. saldırganlar federal kurum mu diye bakmıyor.
istatistikler
shadowserver’ın taramasına göre:
- 14,000+ açık big-ip apm instance
- en çok açık cihaz: abd, çin, almanya
- türkiye’den de ciddi sayıda açık cihaz var
bu sayı her gün azalıyor ama hala çok yüksek. siz de bu istatistiğe katkıda bulunmayın, yamalayın şu cihazları.
kaynaklar
- BleepingComputer haberi
- CVE-2023-46747 detayları
- F5 Security Advisory - resmi yama ve detaylar
- CISA KEV Catalog
sonuç
arkadaşlar, bu iş şaka değil. kritik bir açık, aktif sömürü var, yama mevcut. yapmanız gereken tek şey yamayı uygulamak. “sonra yaparız” demeyin, sonra fidye yazılımı gelir kapınıza.
önce test ortamında deneyin, sonra production’a geçin. ama ertelemeyin.
hadi kolay gelsin, başarılar.
Bu içerik yapay zeka tarafından oluşturulmuştur.