Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft: toegevoegd de onlangs onthulde F5 BIG-IP-fout aan zijn Catalogus met bekende misbruikte kwetsbaarheden naar aanleiding van meldingen van actief misbruik in het wild.
De fout, toegewezen aan de identifier CVE-2022-1388 (CVSS-score: 9,8), betreft een kritieke fout in het BIG-IP iControl REST-eindpunt dat een niet-geverifieerde tegenstander een methode biedt om willekeurige systeemopdrachten uit te voeren.
“Een aanvaller kan dit beveiligingslek gebruiken om zo ongeveer alles te doen wat ze willen op de kwetsbare server,” Horizon3.ai zei in een rapport. “Dit omvat het maken van configuratiewijzigingen, het stelen van gevoelige informatie en het lateraal verplaatsen binnen het doelnetwerk.”
Patches en oplossingen voor de fout werden op 4 mei aangekondigd op F5, maar het is… onderworpen tot in het wild exploitatie de afgelopen week, met aanvallers die probeerden een webshell te installeren die achterdeurtoegang tot de gerichte systemen verleent.
“Vanwege het gemak waarmee deze kwetsbaarheid kan worden misbruikt, de openbare exploitcode en het feit dat deze root-toegang biedt, zullen de exploitatiepogingen waarschijnlijk toenemen”, zegt Rapid7-beveiligingsonderzoeker Ron Bowes. dat is genoteerd. “Wijdverbreide uitbuiting wordt enigszins verzacht door de klein getal van op internet gerichte F5 BIG-IP-apparaten.”
Hoewel F5 sindsdien zijn advies heeft herzien om wat het beschouwt als “betrouwbare” indicatoren van compromissen te bevatten, heeft het: gewaarschuwd dat “een ervaren aanvaller bewijs van een compromis kan verwijderen, inclusief logbestanden, na succesvolle exploitatie.”
Om het erger te maken, bewijs heeft naar voren gekomen dat de fout bij het uitvoeren van externe code wordt gebruikt om gerichte servers volledig te wissen als onderdeel van destructieve aanvallen om ze onbruikbaar te maken door een “rm -rf /*” commando dat recursief alle bestanden verwijdert.
“Aangezien de webserver als root draait, zou dit voor elke kwetsbare server moeten zorgen en elk kwetsbaar BIG-IP-apparaat vernietigen”, SANS Internet Storm Center (ISC) zei op Twitter.
In het licht van de mogelijke impact van deze kwetsbaarheid hebben de agentschappen van de Federal Civilian Executive Branch (FCEB) het mandaat gekregen om alle systemen tegen 31 mei 2022 te patchen.
