ハッカーは、重大度が9.8のBIG-IPの脆弱性を積極的に悪用しています。

研究者は、ハッカーが世界最大かつ最も機密性の高いネットワーク上で実行されるネットワークデバイスを完全に制御するために積極的に悪用している脆弱性の範囲と規模に驚嘆しています。

この脆弱性は、可能な10のうち9.8の重大度を持ち、組織がロードバランサー、ファイアウォールとして、およびネットワークに出入りするデータの検査と暗号化に使用する一連のアプライアンスであるF5のBIG-IPに影響を与えます。 オンラインで発見できるギアのインスタンスは16,000以上あり、 F5は言う Fortune 50の48で使用されています。BIG-IPはネットワークエッジに近接しており、Webサーバーのトラフィックを管理するデバイスとして機能するため、HTTPSで保護されたトラフィックの復号化されたコンテンツを確認できる場合がよくあります。

先週、F5 開示され、パッチが適用されます ハッカーがルートシステム権限で実行されるコマンドを実行するために悪用できるBIG-IPの脆弱性。 脅威は、認証の実装の誤りに起因します。 iControl REST、Webベースのプログラミングインターフェイスのセット 構成と管理 BIG-IPデバイス。

「この問題により、管理インターフェースにアクセスできる攻撃者は、認証の実装方法に欠陥があるため、基本的に管理者のふりをすることができます」と、セキュリティ会社Randoriの研究開発ディレクターであるAaronPortnoyは直接メッセージで述べています。 「管理者になると、実行コードを含め、アプリケーションが提供するすべてのエンドポイントと対話できます。」

過去24時間にTwitterの周りに浮かんでいる画像は、ハッカーがこのエクスプロイトを使用してbashという名前のF5アプリケーションエンドポイントにアクセスする方法を示しています。 その機能は、root権限を持つbashコマンドとしてユーザー指定の入力を実行するためのインターフェースを提供することです。

多くの画像は、コマンドを実行するためのパスワードを提供するエクスプロイトコードを示していますが、エクスプロイトは次の場合にも機能します。 パスワードは提供されません。 この画像は、パスワードなしでルートコマンドを実行できるエクスプロイトの力に驚いた研究者の注目を集めました。 冗談半分で、この強力な機能がいかにうまくロックダウンされなかったのかと尋ねる人もいました。

Twitterの他の場所で、研究者はエクスプロイトコードを共有し、脅威の攻撃者がパッチを適用した後でもハッキングされたBIG-IPデバイスの制御を維持するために使用できるバックドアWebシェルをドロップするエクスプロイトを見たと報告しました。 1 そのような攻撃 アドレス216.162.206.213および209.127.252.207からの脅威アクターがペイロードをファイルパス/tmp/f5.shにドロップして、PHPベースのWebシェルを/ usr / local / www / xui / common /css/にインストールすることを示しました。 それ以降、デバイスはバックドアになります。

CVE-2022-1388の重大度は、多くの詳細が利用可能になる前に、先週9.8と評価されました。 エクスプロイトの容易さ、パワー、および幅広い可用性がよりよく理解されるようになったため、リスクの緊急性が高まっています。 BIG-IPギアを使用する組織は、この脆弱性の調査と、発生するリスクのパッチ適用または軽減を優先する必要があります。 Randoriは、脆弱性の詳細な分析と1行のbashスクリプトを提供しました ここ BIG-IPユーザーが悪用可能性をチェックするために使用できるもの。 F5には追加のアドバイスとガイダンスがあります ここ。