Kritik F5 BIG-IP hatasını kullanan bilgisayar korsanları, halka açık açıklar yayınlandı

Tehdit aktörleri, takip edilen kritik güvenlik açığından büyük ölçüde yararlanmaya başladı. CVE-2022-1388Kötü amaçlı yükleri bırakmak için tüm F5 BIG-IP modüllerinin birden çok sürümünü etkileyen .

F5 geçen hafta yayınlanan yamalar BIG-IP iControl REST kimlik doğrulama bileşenini etkileyen güvenlik sorunu (9,8 önem derecesi) için.

Şirket, güvenlik açığının BIG-IP sistemindeki kimliği doğrulanmamış bir saldırganın “keyfi sistem komutları çalıştırmasına, dosya oluşturmasına veya silmesine veya hizmetleri devre dışı bırakmasına” olanak tanıdığı konusunda uyardı.

Şu anda internette açığa çıkan binlerce BIG-IP sistemi var, bu nedenle saldırganlar şirket ağını ihlal etmek için istismardan uzaktan yararlanabilir.

Dün, birden fazla güvenlik araştırmacısı, çalışan açıklar oluşturduklarını açıkladı ve yöneticileri en son güncellemeleri hemen yüklemeleri konusunda uyardı.

Bugün, saldırılar yalnızca iki komut gerektirdiğinden ve bazı üstbilgilerin internete maruz kalan yama uygulanmamış bir ‘bash’ uç noktasına gönderilmesi gerektiğinden, balon patlaması ve açıklardan yararlanma herkese açık hale geldi.

Şu anda Twitter, CVE-2022-1388 için suistimal kanıtı koduyla dolu ve uzun süreli arka kapı erişimi için web kabuklarını bırakmanın vahşi ortamda kullanıldığını bildiriyor.

Mermileri düşürmek için aktif olarak kullanıldı

Cronup güvenlik araştırmacısı Germán Fernández, tehdit aktörlerinin PHP web kabuklarını “/tmp/f5.sh” dizinine attığını ve bunları “/ usr / local / www / xui / common / css /” dizinine yüklediğini gözlemledi.

Kurulumdan sonra, yük yürütülür ve ardından sistemden kaldırılır:

Yönetim arayüzünü hedef almayan saldırılarda Kevin Beaumont tarafından da suistimal girişimleri gözlemlendi. O notlar F5 sistemi “kendi kendine IP üzerinden bir yük dengeleyici ve güvenlik duvarı olarak yapılandırılmışsa, bu aynı zamanda savunmasızdır, bu yüzden bu dağınık olabilir”.

Ancak diğer araştırmacılar, CVE-2022-11388’in yönetim arayüzüne karşı büyük ölçüde kullanıldığını gördüler.

Suistimal edilmesi şüpheli derecede kolay

Güvenlik açığından yararlanmak o kadar kolaydır ki, bazı güvenlik araştırmacıları, özellikle savunmasız uç noktanın popüler bir Linux kabuğu olan ‘bash’ olarak adlandırıldığını göz önünde bulundurarak, ürünlerde tesadüfen bulunmadığına inanmaktadır.

Jake Williamsşirketinde siber tehdit istihbaratı genel müdürü tırpankusurun bir geliştiricinin hata yapmasının sonucu olabileceğini söylüyor.

Will DormannCERT / CC’deki güvenlik açığı Analisti, aksi takdirde çok daha büyük bir sorun olabileceğinden korkarak aynı duyguyu paylaşıyor.

Araştırmacı, CVE-2022-1388'in kökeniyle ilgili endişelerini paylaşıyor

İstismar hali hazırda herkese açık olarak yaygın bir şekilde paylaşıldığından, yöneticilere mevcut yamaları derhal yüklemeleri, genel internet üzerinden yönetim arayüzüne erişimi kaldırmaları veya güncellemeler yüklenene kadar F5 tarafından sağlanan azaltmaları uygulamaları şiddetle tavsiye edilir:

Tüm güvenlik güncellemeleri ve hafifletmeler hakkında ayrıntılı bilgiler de dahil olmak üzere bu güvenlik açığı için F5’in tavsiyesi bulunabilir burada.

BIG-IP yöneticilerine yardımcı olmak için, Randori saldırı yüzeyi yönetim şirketindeki araştırmacılar yayınlandı CVE-2022-1388’in istismar edilebilir olup olmadığını belirleyen bash kodu onların örneklerinde ya da değil.

Leave a Comment