Exploatări publice pentru vulnerabilitea critică din produsele F5 BIG-IP
https://www.bleepingcomputer.com
Atacatorii au început să exploateze vulnerabilitatea critică CVE-2022-1388, care afectează mai multe versiuni ale produselor F5 BIG-IP, pentru a lansa malware.
Săptămâna trecută, F5 a lansat patch-uri pentru vulnerabilitatea care afectează componenta de autentificare BIG-IP iControl REST (scor de severitate 9.8).
Vulnerabilitatea permite unui atacator neautentificat să execute comenzi arbitrare de sistem, să creeze sau să șteargă fișiere sau să dezactiveze servicii.
În acest moment, există mii de sisteme BIG-IP expuse în internet, astfel că atacatorii pot exploata de la distanță rețelele corporative.
Exploit-urile au devenit disponibile public, deoarece atacurile necesită doar două comenzi și câteva headere trimise către un computer fără actualizări expus la internet.
Specialistul în securitate cibernetică de la Cronup, Germán Fernández a observat că atacatorii au distribuit webshell-uri PHP în „/tmp/f5.sh” și le-au instalat în „/usr/local/www/xui/common/css/”.
După instalare, payload-ul este executat și apoi eliminat din sistem:
Încercările de exploatare au fost observate și de Kevin Beaumont în atacuri care nu vizau interfața de management. Dacă sistemul F5 a fost configurat „ca un load balancer și firewall prin intermediul IP-ului propriu, acesta este, de asemenea, vulnerabil”.
Deoarece exploit-ul este deja răspândit la scară largă în mod public, administratorii sunt sfătuiți să instaleze imediat patch-urile disponibile, să elimine accesul la interfața de management prin intermediul internetului sau să aplice măsurile de remediere furnizate de F5 până când vor putea fi instalate actualizările:
- Blocarea accesului la interfața iControl REST a sistemului BIG-IP prin intermediul adreselor IP propria;
- Blocarea accesului doar pentru utilizatorii și dispozitivele de încredere prin intermediul interfeței de management;
- Modificarea configurației BIG-IP httpd.
Pentru a veni în ajutorul administratorilor BIG-IP, specialiștii de la compania Randori au publicat un cod bash care determină dacă CVE-2022-1388 este sau nu exploatabil pe sistemele lor.
