Exploit de tip PoC lansat pentru o vulnerabilitate în F5 BIG-IP

Specialiștii în domeniul securității au publicat codul de exploatare de tip Proof-of-Concept (PoC) pentru CVE-2025-20029, o vulnerabilitate de injectare de comenzi cu grad de severitate high ce afectează controller-ele de distribuire a aplicațiilor BIG-IP ale F5.

Vulnerabilitatea, cu un scor CvSS de 8.8/10, permite atacatorilor autentificați să execute comenzi arbitrare de sistem prin neutralizarea inadecvată a elementelor speciale în iControl REST API și TMOS Shell (tmsh).

Exploatarea cu succes permite atacatorilor cu privilegii de utilizator să-și escaladeze privilegiile la nivel de root.

Vulnerabilitatea provine din analiza necorespunzătoare a datelor de intrare în funcționalitatea de salvare a interfeței de linie de comandă tmsh, unde atacatorii pot injecta parametri malițioși ce conțin metacaractere shell precum ; sau &&.

Acest lucru ocolește restricțiile mediului de comandă al F5 prin manipularea necorespunzătoare a argumentelor furnizate de utilizator transmise apelurilor system().

Deși exploatarea necesită credențiale valide, complexitatea atacului rămâne scăzută datorită structurii previzibile a secvențelor de comandă vulnerabile.

PoC-ul lansat utilizează endpoint-ul /mgmt/tm/util/bash al API REST al BIG-IP pentru a ocoli restricțiile de comandă. Un payload JSON creat exploatează gestionarea necorespunzătoare a argumentelor în procesul de backup al configurației.

Măsurile temporare de atenuare includ:

• restricționarea accesului iControl REST prin intermediul setărilor de blocare a porturilor pe propriile IP-uri;
• implementarea segmentării rețelei pentru interfețele de administrare;
• aplicarea unor politici RBAC stricte pentru a limita disponibilitatea comenzilor tmsh.

Sursă: https://cybersecuritynews.com/poc-exploit-released-for-f5-big-ip/