F5, Big-IP ve Big-IQ ürünleri için sıcaklıklar yayınladı ve saldırganların savunmasız uç noktalarda kimlik doğrulanmamış uzaktan kod yürütme (RCE) gerçekleştirmesine izin veren iki yüksek şiddetli kusura hitap etti.
Bu kusurlar, belirli kriterlerin var olmasını gerektirse de, bunları sömürülmesini çok zorlaştırsa da, F5, cihazların tamamen uzlaşmasına yol açabileceği konusunda uyarıyor.
İlk kusur CVE-2022-41622 (CVSS V3-8.8) olarak izlenir ve Icontrol sabununda, birden fazla BIG-IP ve BIG-IQ versiyonlarını etkileyen bölgeler arası sahtecilik yoluyla kimlik doğrulanmamış bir RCE'dir.
F5'in danışmanlığı, "Bir saldırgan, en azından kaynak yöneticisi rol ayrıcalığına sahip olan kullanıcıları kandırabilir ve Icontrol sabunındaki temel kimlik doğrulama yoluyla kimlik doğrulaması yapan kullanıcıları kritik eylemler gerçekleştirebilir."
"Eğer sömürülürse, güvenlik açığı tam sistemi tehlikeye atabilir."
İkinci kusur, RPM spesifikasyon enjeksiyonu yoluyla kimliği doğrulanmış bir RCE olan CVE-2022-41800'dir (CVSS V3-8.7), iControl Rest bileşenini etkileyen.
Savunmasız BIG-IP sürümleri:
Big-IQ için etkilenen sürümler:
Etkilenen müşterilerin, F5'ten ürün sürümleri için mühendislik hotfix talep etmesi ve manuel olarak yüklemeleri önerilir.
CVE-2022-41622'yi çözmek için, yöneticiler ayrıca hotfix'i taktıktan sonra IControl sabunu için temel kimlik doğrulamasını devre dışı bırakmalıdır.
Güvenlik açıkları Temmuz 2022'de Rapid7'deki araştırmacılar tarafından keşfedildi ve Ağustos 2022'de F5'e bildirildi.
Dün, Rapid7, güvenlik açıklarının teknik ayrıntılarını açıklayan kusurlar hakkında ayrıntılı bir rapor yayınladı.
RAPID, "Güvenlik açıklarının en kötüsünden (CVE-2022-41622) başarılı bir şekilde yararlanarak (CVE-2022-41622), bir saldırgan cihazın yönetim arayüzüne kalıcı kök erişimi kazanabilir (yönetim arayüzü internete bakma olmasa bile)."
Bununla birlikte, böyle bir saldırının çalışması için, aktif bir oturumu olan bir yöneticinin, BIG-IP'yi yönetmek için kullanılan aynı tarayıcı ile kötü niyetli bir web sitesini ziyaret etmesi gerekecektir.
Ayrıca, saldırganın, yöneticiye karşı sahalar arası isteği algılamasını yürürlüğe koymak için hedeflenen BIG-IP örneğinin adresini bilmesi gerekir.
Bu nedenle, Rapid7 araştırmacısı Ron Bowes, güvenlik açıklarının yaygın bir sömürü almasının pek olası olmadığına inanmaktadır.
CVE-2022-41800 için, saldırganın 'Kaynak Yöneticisi' veya daha yüksek ayrıcalıklarla kimlik doğrulaması yapılması gerekecektir, bu nedenle etki kritik değildir.
F5, Rapid7 tarafından ifşa edilen güvenlik açıklarını içeren herhangi bir sömürü olayından habersizdir.
Analistler, CVE-2022-41622 için konsept istismarının kanıtı da dahil olmak üzere kapsamlı teknik ayrıntılar yayınladılar, bu nedenle güvenlik açıklarını mümkün olan en kısa sürede ele almak önemlidir.
İki yüksek şiddetli kusurun yanı sıra, Rapid7 ayrıca birkaç güvenlik kontrolü (Selinux) baypas yöntemi keşfetti, ancak satıcı pratik olarak sömürülebilir olduğunu düşünmediği için bunlar düzeltilmeyecek.
Araştırmacılar, sahne arkası öncesi RCE Bug için istismar ayrıntılarını yayınladı
Microsoft, Azure Cosmos DB'yi etkileyen kritik RCE kusurunu düzeltir
Bilgisayar korsanları kritik VMware kusurunu fidye yazılımı, madenciler için sömürüyor
Apache Commons Metin RCE Kusur - Sakin Olun ve Yama Uzak
Kritik VM2 Koşusu, saldırganların kum havuzunun dışında kod çalıştırmasına izin verir
Kaynak: Bleeping Computer