ช่องโหว่ Command Injection ในระบบ F5 BIG-IP และการ PoC

1. ผู้โจมตีเข้าสู่ระบบผ่าน SSH ด้วยสิทธิ์ผู้ใช้ระดับต่ำ
2. ผู้โจมตีใช้คําสั่ง save sys config partitions และแทรกอักขระพิเศษของ tmsh ที่อยู่ในเครื่องหมายคําพูดพร้อมกับคำสั่งข้างต้น เช่น save sys config partitions { Common "; bash -c id ; #" } ส่งผลให้ระบบสามารถรันคำสั่ง bash ได้ ซึ่งโดยปกติคำสั่ง bash นั้นต้องใช้สิทธิ์ระดับ root ในการรันเท่านั้น

เวอร์ชันที่ได้รับผลกระทบ

• BIG-IP เวอร์ชัน 17.1.0 - 17.1.2
• BIG-IP เวอร์ชัน 16.1.0 - 16.1.5
• BIG-IP เวอร์ชัน 15.1.0 - 15.1.10

ผลกระทบจากช่องโหว่

หากผู้โจมตีทำการโจมตีผ่านช่องโหว่สำเร็จ ส่งผลให้สามารถรันคำสั่งต่าง ๆ บนระบบด้วยสิทธิ์ root ได้ โดยผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ที่ได้รับผลกระทบ และนำไปสู่การแก้ไขข้อมูลที่สำคัญ ลบไฟล์ระบบ เปลี่ยนการตั้งค่าของอุปกรณ์ หรือปิดการทำงานของบริการที่สำคัญ นอกจากนี้อาจส่งผลให้ผู้โจมตีสามารถใช้อุปกรณ์ที่ถูกยึดไปเป็นฐานในการโจมตีระบบอื่น ๆ ภายในองค์กร

คำแนะนำ

• ควรอัปเดต F5 BIG-IP เป็นเวอร์ชัน 15.1.10.6, 16.1.5.2 และ 17.1.2.1
• ควบคุมการเข้าถึง iControl REST API และ tmsh เฉพาะผู้ที่ได้รับอนุญาตเท่านั้น หากไม่จำเป็น ให้ทำการปิดการเข้าถึง iControl REST API จากเครือข่ายภายนอกเพื่อลดโอกาสในการถูกโจมตี
• ตรวจสอบ log ของระบบอย่างสม่ำเสมอ เพื่อตรวจจับการพยายามใช้ช่องโหว่ดังกล่าว

แหล่งอ้างอิง

https://securityonline.info/cve-2025-20029-command-injection-flaw-discovered-in-f5-big-ip-system-poc-releases/