476/66 (IT) ประจำวันศุกร์ที่ 3 พฤศจิกายน 2566
หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่จำนวน 2 รายการที่ CVE-2023-46747 และ CVE-2023-46748 ใน BIG-IP ลงใน Known Exploited Vulnerabilities catalog ซึ่งอิงจากหลักฐานมีการใช้ประโยชน์จากช่องโหว่ทั้งสองรายการคือ:
– CVE-2023-46747 F5 BIG-IP Authentication Bypass Vulnerability – F5 BIG-IP Configuration utility มีการ Bypass การรับรองความถูกต้องซึ่งอาจอนุญาตให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องด้วยการเข้าถึงเครือข่ายไปยังระบบ BIG-IP ผ่าน พอร์ตการจัดการที่อยู่ IP ของตนเองเพื่อดำเนินการคำสั่งระบบ ช่องโหว่นี้สามารถใช้ร่วมกับ CVE-2023-46748 ได้
– CVE-2023-46748 F5 BIG-IP SQL Injection Vulnerability – F5 BIG-IP Configuration utility มีช่องโหว่ SQL insert ที่อาจอนุญาตให้ผู้โจมตีได้รับการรับรองความถูกต้องด้วยการเข้าถึงเครือข่ายผ่านพอร์ตการจัดการ BIG-IP หรือที่อยู่ IP ของตนเองเพื่อดำเนินการคำสั่งระบบ ช่องโหว่นี้สามารถใช้ร่วมกับ CVE-2023-46747 ได้
ตามที่ Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities โดยหน่วยงาน FCEB จะต้องแก้ไขช่องโหว่ภายในวันที่กำหนด เพื่อป้องกันเครือข่ายถูกโจมตีและใช้ประโยชน์จากช่องโหว่ใน catalog โดยผู้เชี่ยวชาญยังแนะนำให้องค์กรเอกชนตรวจสอบ catalog เพื่อแก้ไขช่องโหว่ในโครงสร้างพื้นฐานด้วย ทาง CISA ได้สั่งให้หน่วยงานรัฐบาลกลางแก้ไขช่องโหว่นี้ภายในวันที่ 21 พฤศจิกายน 2023