Tehdit aktörleri, kötü niyetli yükleri düşürmek için tüm F5 BIG-IP modüllerinin birden fazla sürümünü etkileyen CVE-2022-1388 olarak izlenen kritik güvenlik açığından büyük ölçüde yararlanmaya başladı.
F5 Geçen hafta, Big-IP IControl REST kimlik doğrulama bileşenini etkileyen güvenlik sorunu (9.8 Önem Derecesi) için yamalar yayınladı.
Şirket, güvenlik açığının, BIG-IP sistemine kimlik doğrulanmamış bir saldırganın “keyfi sistem komutları, dosya oluşturma veya silme veya hizmetleri devre dışı bırakmasını” sağladığı konusunda uyardı.
Şu anda, internette maruz kalan binlerce BIG-IP sistemi var, böylece saldırganlar kurumsal ağı ihlal etmek için uzaktan istismardan yararlanabilirler.
Dün, birden fazla güvenlik araştırmacısı, çalışan istismarlar oluşturduklarını ve yöneticileri en son güncellemeleri derhal kurmaları için uyardıklarını açıkladı.
Bugün, kabarcık patlaması ve istismarları kamuya açık hale geldi, çünkü saldırılar sadece iki komut gerektiriyor ve bazı başlıklar internete maruz kalan bir 'bash' uç noktasına gönderildi.
Şu anda Twitter, CVE-2022-1388 için exploit kodu ile doludur ve uzun süreli arka kapı erişimi için web kabuklarını bırakmak için vahşi doğada kaldırıldığını bildirir.
Cronup Güvenlik Araştırmacısı Germán Fernández, tehdit aktörlerinin PHP web kabuklarını “/tmp/f5.sh” a düşürdüğünü ve bunları “/usr/local/www/xui/common/css/.”
Kurulumdan sonra yük yürütülür ve daha sonra sistemden kaldırılır:
Kevin Beaumont tarafından yönetim arayüzünü hedeflemeyen saldırılarda da sömürü girişimleri gözlemlenmiştir. F5 sistemi “bir yük dengeleyici ve güvenlik duvarı olarak kendi IP aracılığıyla yapılandırılmışsa, bu da bu dağınık olabilir”.
Bununla birlikte, diğer araştırmacılar CVE-2022-11388'in yönetim arayüzüne karşı büyük ölçüde kaldırıldığını gördüler.
Güvenlik açığından yararlanmak o kadar kolaydır ki, bazı güvenlik araştırmacıları, özellikle savunmasız uç noktanın popüler bir Linux kabuğu olan 'Bash' olarak adlandırıldığı düşünüldüğünde, ürünlere kazara sonuçlanmadığına inanıyorlar.
Scythe'deki Siber Tehdit İstihbaratı Genel Müdürü Jake Williams, kusurun bir geliştiricinin hata yapan bir sonucu olabileceğini söylüyor.
CERT/CC'deki güvenlik açığı analisti Will Dormann, aksi takdirde çok daha büyük bir sorun olabileceğinden korkarak aynı duyguyu paylaşıyor.
İstismar halihazırda kamuya açık olarak paylaşıldığından, yöneticilerin hemen mevcut yamaları yüklemeleri, genel internet üzerinden yönetim arayüzüne erişimi kaldırmaları veya güncellemeler yüklenene kadar F5 tarafından sağlanan hafifletmeleri uygulamaları şiddetle tavsiye edilir:
F5'in bu güvenlik açığı danışmanlığı, tüm güvenlik güncellemeleri ve hafifletmeler hakkında ayrıntılı bilgiler de dahil olmak üzere burada bulunabilir.
BIG-IP yöneticilerine yardımcı olmak için, Randori saldırı Surface Management Company'deki araştırmacılar, CVE-2022-1388'in örneklerinde kullanılmadığını belirleyen BASH kodu yayınladı.
Kritik F5 Big-IP kusuru için oluşturulan istismarlar, yamayı hemen yükleyin
Kritik F5 Big-IP güvenlik açığı, cihazları silmek için sömürüldü
F5 kritik Big-IP RCE hatasını uyarıyor Cihazın devralınmasına izin veriyor
Google, aktif olarak sömürülen Android Çekirdek Güvenlik Açığı
CISA, saldırılarda sömürülen hataların listesine 66 güvenlik açığı ekledi
Kaynak: Bleeping Computer