F5 BIG-IP obsahuje aktívne zneužívanú kritickú zraniteľnosť

Zariadenia BIG-IP obsahujú kritickú zraniteľnosť, ktorá umožňuje neautentifikovaným útočníkom prevziať kontrolu nad zraniteľným systémom, vytvárať a mazať súbory a kontrolovať služby. Pre zraniteľnosť existuje verejne dostupný kód pre jej zneužitie a útočníci ju aktívne zneužívajú.

Opis činnosti:

CVE-2022-1388 (CVSS 9,8)

Kritická zraniteľnosť zariadení BIG-IP spoločnosti F5 s funkcionalitou inšpekcie a šifrovania sieťovej prevádzky, load balancerov a firewallov umožňuje útočníkom obísť autentifikačný proces a vykonávať príkazy s oprávneniami používateľa root, vytvárať a mazať súbory, či zakázať služby. Chyba sa nachádza v implementácii autentifikácie pre iControl REST API. Pre jej zneužitie musí útočník poslať špeciálne vytvorenú požiadavku.

Australian Cyber Security Centre informovalo, že pre zraniteľnosť existuje verejne dostupný kód pre jej zneužitie. Útočníkom s prístupom ku manažmentovému rozhraniu (napríklad vystavenému do internetu) umožňuje prevziať úplnú kontrolu nad infraštruktúrou so zraniteľným zariadením. Zraniteľnosť je aktívne zneužívaná. Bezpečnostní výskumníci zaznamenali napríklad prípady umiestnenia PHP webshellov do „/tmp/f5.sh“ a ich inštalácie do „/usr/local/www/xui/common/css/“.

Pre overenie zraniteľnosti vašich zariadení môžete použiť Bash skript a návod uverejnený TU.

Zraniteľné systémy:

  • F5 BIG-IP verzie 16.1.x staršie ako 16.1.2.2,
  • F5 BIG-IP verzie 15.1.x staršie ako 15.1.5.1,
  • F5 BIG-IP verzie 14.1.x staršie ako 14.1.4.6,
  • F5 BIG-IP verzie 13.1.x staršie ako 13.1.5,
  • F5 BIG-IP všetky verzie 12.1.x
  • F5 BIG-IP všetky verzie 11.6.x

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Prevzatie kontroly nad zraniteľnou infraštruktúrou
  • Vytváranie a mazanie súborov
  • Kontrola nad službami

Odporúčania:

Bezodkladná kontrola  zraniteľných zariadení na prítomnosť zadných vrátok útočníkov a ich následná aktualizácia. Pre nepodporované verzie 11.6.x a 12.1.x nebudú vydané aktualizácie.

Pokiaľ aktualizácia nie je možná, znížiť dopad zraniteľnosti môžete:

  • Zablokovaním prístupu k iControl REST API z jeho vlastnej IP adresy
  • Zablokovaním prístupu cez manažovacie rozhranie
  • Úpravou konfigurácie BIG-IP httpd

Bližší návod nájdete na stránke výrobcu.             

Pre zabezpečenie vašich produktov F5 BIG-IP môžete použiť pomôcku na tejto stránke.

Odkazy:

https://arstechnica.com/information-technology/2022/05/hackers-are-actively-exploiting-big-ip-vulnerability-with-a-9-8-severity-rating/

https://blog.malwarebytes.com/exploits-and-vulnerabilities/2022/05/update-now-exploits-are-active-for-f5-big-ip-vulnerability/

https://threatpost.com/exploit-f5-big-ip-bug/179563/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1388

https://www.randori.com/blog/vulnerability-analysis-cve-2022-1388/

https://support.f5.com/csp/article/K23605346

https://github.com/dnkolegov/bigipsecurity/blob/master/README.md