Share

ช่องโหว่อันตราย Command Injection บน BIG-IP Appliance Mode

Last updated: 14 May 2025
40 Views
สรุปข้อมูล
ช่องโหว่ CVE-2025-31644 ในระบบ F5 BIG-IP ที่ดำเนินการใน Appliance Mode ซึ่งแฮกเกอร์ที่ผ่านการ Authentication บัญชีผู้ใช้งานระดับ Administrator สามารถสั่งรันคำสั่ง Bash ตามที่แฮกเกอร์ต้องการและสามารถยกระดับสิทธิ์ผู้ใช้งานเป็นระดับ Root ได้ โดยช่องโหว่นี้โจมตีผ่าน API ของ iControl REST และ CLI ที่ใช้ผ่าน tmsh (Traffic Management Shell)
 
รายละเอียดช่องโหว่
CVE-2025-31644 (คะแนน CVSS 8.7/10 ระดับความรุนแรง High) เป็นช่องโหว่ประเภท Command Injection หรือ CWE-77 ที่มีสาเหตุมาจากคำสั่ง save ซึ่งปกติใช้เก็บไฟล์ Config โดยมีพารามิเตอร์ชื่อ file ที่ถูกส่งไปยัง Perl Script หรือคำสั่งของระบบโดยไม่ปลอดภัย ทำให้แฮกเกอร์สามารถ Inject คำสั่งอันตรายผ่าน Shell Metacharacters อย่างไรก็ตามคำสั่ง save ผู้ใช้งานทั่วไปสามารถใช้ได้ แต่มีเฉพาะ Admin เท่านั้นที่สามารถกำหนด Path ของไฟล์เองได้ จึงช่วยจำกัดขอบเขตการโจมตีได้ระดับหนึ่งเท่านั้น
 
เวอร์ชันที่ได้รับผลกระทบ
  • F5 BIG-IP เวอร์ชัน 17.1.0 - 17.1.2
  • F5 BIG-IP เวอร์ชัน 16.1.0 - 16.1.5
  • F5 BIG-IP เวอร์ชัน 15.1.0 - 15.1.10

เวอร์ชันที่ได้รับการแก้ไข
  • F5 BIG-IP เวอร์ชัน 17.1.2.2
  • F5 BIG-IP เวอร์ชัน 16.1.6
  • F5 BIG-IP เวอร์ชัน 15.1.10.7

 

ผลกระทบจากช่องโหว่
จากช่องโหว่ CVE-2025-31644 บน F5 BIG-IP ข้างต้น ส่งผลให้แฮกเกอร์ที่มีสิทธิ์เป็น Administrator สามารถเข้าควบคุมระบบได้ถึงแม้จะเปิดใช้งาน Appliance Mode อยู่ และยกระดับสิทธิ์เป็น Root เพื่อดำเนินการแก้ไขไฟล์ Config ของระบบ เปลี่ยนเส้นทางของ Network Traffic ปิดหรือเปลี่ยนการตั้งค่า Security Features และขยายขอบเขตการโจมตี เช่น ฝังมัลแวร์ และขโมยข้อมูลต่าง ๆ ได้

คำแนะนำ
  • อัปเดต F5 BIG-IP ให้เป็นเวอร์ชันล่าสุดหรือเวอร์ชันที่ได้รับการแก้ไข
  • ติดตามและปฏิบัติตามวิธีการแก้ไขปัญหาตามประกาศของ F5
  • จำกัดการเข้าถึงฟังก์ชันสำคัญ ให้เฉพาะอุปกรณ์หรือเครือข่ายที่เชื่อถือได้ เช่น การเข้าถึง iControl REST ผ่าน Self IP, iControl REST ผ่าน Management Interface, การเข้าถึง SSH ผ่าน Self IP และ Management Interface
  • เปิดใช้ Multi-Factor Authentication (MFA) ในการเข้าสู่ระบบ
  • พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม

 

แหล่งอ้างอิง

https://securityonline.info/poc-released-cve-2025-31644-exploit-grants-root-access-on-f5-big-ip-via-appliance-mode-command-injection/

https://my.f5.com/manage/s/article/K000148591

Tags :
#Command Injection
#F5 BIG-IP
#Hacker
#Vulnerability
#ECOP
#ECOPTH
#YourTrustedCybersecuritServicesCompany
#Cybersecurity
#Cybersecuritynews
Related Content
กลุ่มแฮกเกอร์ APT123 ทำการขยายขอบเขตการโจมตีไปหลายประเทศทั่วโลกรวมถึง SEA
กลุ่มแฮกเกอร์ APT123 ทำการขยายขอบเขตการโจมตีไปหลายประเทศทั่วโลกรวมถึง SEA
20 May 2025
เครื่องมือ Defendnot หลอก Windows ให้ปิดการใช้งาน Microsoft Defender
เครื่องมือ Defendnot หลอก Windows ให้ปิดการใช้งาน Microsoft Defender
20 May 2025
พบช่องโหว่ใน Microsoft Defender ที่ช่วยให้แฮกเกอร์สามารถยกระดับสิทธิ์
พบช่องโหว่ใน Microsoft Defender ที่ช่วยให้แฮกเกอร์สามารถยกระดับสิทธิ์
16 May 2025
Compare product
0/4
Remove all
Compare