Bilgisayar korsanları, 9.8 önem derecesine sahip BIG-IP güvenlik açığından aktif olarak yararlanıyor

Araştırmacılar, bilgisayar korsanlarının dünyanın en büyük ve en hassas ağlarından bazılarında çalışan ağ cihazlarının tam kontrolünü ele geçirmek için aktif olarak yararlandıkları bir güvenlik açığının kapsamına ve büyüklüğüne hayret ediyor.

Olası 10 üzerinden 9.8 önem derecesi taşıyan güvenlik açığı, F5’in BIG-IP’sini, kuruluşların yük dengeleyici, güvenlik duvarı olarak ve ağlara giren ve ağlardan geçen verilerin denetlenmesi ve şifrelenmesi için kullandığı bir cihaz serisini etkiler. Çevrimiçi olarak keşfedilebilen 16.000’den fazla donanım örneği var ve F5, bunun Fortune 50’nin 48’i tarafından kullanıldığını söylüyor. BIG-IP’nin ağ kenarlarına yakınlığı ve web sunucuları için trafiği yöneten cihazlar olarak işlevleri göz önüne alındığında, genellikle bir konumdadırlar. HTTPS korumalı trafiğin şifresi çözülmüş içeriğini görmek için.

Geçen hafta F5, bilgisayar korsanlarının kök sistem ayrıcalıklarıyla çalışan komutları yürütmek için yararlanabileceği bir BÜYÜK IP güvenlik açığını açıkladı ve yamaladı. Tehdit, BIG-IP cihazlarını yapılandırmak ve yönetmek için bir dizi web tabanlı programlama arabirimi olan iControl REST’in hatalı bir kimlik doğrulama uygulamasından kaynaklanmaktadır.

Güvenlik firması Randori’nin araştırma ve geliştirme direktörü Aaron Portnoy, doğrudan bir mesajda, “Bu sorun, yönetim arayüzüne erişimi olan saldırganların, kimlik doğrulamanın uygulanmasındaki bir kusur nedeniyle temelde bir yönetici gibi davranmalarına izin veriyor.” Dedi. “Yönetici olduğunuzda, doğrudan komutları yürütenler de dahil olmak üzere uygulamanın sağladığı tüm uç noktalarla etkileşim kurabilirsiniz.”

Son 24 saat içinde Twitter’da dolaşan görüntüler, bilgisayar korsanlarının bash adlı bir F5 uygulama uç noktasına erişmek için istismarı nasıl kullanabileceğini gösteriyor. İşlevi, kullanıcı tarafından sağlanan girdiyi kök ayrıcalıklarıyla bir bash komutu olarak çalıştırmak için bir arabirim sağlamaktır.

Birçok görüntü, komutların çalıştırılması için bir parola sağlayan yararlanma kodunu gösterirken, açıklardan yararlanmalar şu durumlarda da çalışır: şifre verilmez. Görüntü, parola olmadan kök komutlarının yürütülmesine izin veren bir istismarın gücüne hayret eden araştırmacıların dikkatini hızla çekti. Sadece yarı şaka, bazıları bu kadar güçlü işlevselliğin nasıl bu kadar kötü bir şekilde kilitlenmiş olabileceğini sordu.

Twitter’da başka bir yerde, araştırmacılar istismar kodunu paylaştılar ve tehdit aktörlerinin saldırıya uğramış BIG-IP cihazları üzerinde yama uygulandıktan sonra bile kontrolü sürdürmek için kullanabilecekleri arka kapı web kabuklarını düşüren vahşi istismarlar gördüklerini bildirdiler. 1 böyle bir saldırı 216.162.206.213 ve 209.127.252.207 adreslerinden tehdit aktörlerinin /tmp/f5.sh dosya yoluna bir yük bırakarak /usr/local/www/xui/common/css/ dizinine PHP tabanlı web kabuğunu yüklediğini gösterdi. O andan itibaren, cihaz arka kapıya açılır.

CVE-2022-1388’in ciddiyeti, birçok ayrıntı mevcut olmadan önce geçen hafta 9.8 olarak derecelendirildi. Artık açıkların kolaylığı, gücü ve geniş kullanılabilirliği daha iyi anlaşıldığına göre, riskler daha fazla aciliyet kazanıyor. BIG-IP donanımını kullanan kuruluşlar, bu güvenlik açığının araştırılmasına ve ortaya çıkan herhangi bir riskin yamalanmasına veya azaltılmasına öncelik vermelidir. Randori, güvenlik açığının ayrıntılı bir analizini ve BIG-IP kullanıcılarının istismar edilebilirliği kontrol etmek için kullanabileceği tek satırlık bir bash betiği sağladı. F5’in burada ek tavsiye ve rehberliği vardır.