Dagen nadat F5 patches uitbracht voor een kritieke kwetsbaarheid voor het uitvoeren van externe code die zijn BIG-IP-productfamilie aantast, waarschuwen beveiligingsonderzoekers dat ze een exploit hebben kunnen maken voor de tekortkoming.
Bijgehouden CVE-2022-1388 (CVSS-score: 9,8), de fout heeft betrekking op een iControl REST-authenticatie-bypass die, indien succesvol misbruikt, kan leiden tot uitvoering van externe code, waardoor een aanvaller de eerste toegang krijgt en de controle over een getroffen systeem overneemt.
Dit kan variëren van het inzetten van cryptocurrency-mijnwerkers tot het inzetten van webshells voor vervolgaanvallen, zoals informatiediefstal en ransomware.
“We hebben de nieuwe CVE-2022-1388 gereproduceerd in F5’s BIG-IP,” cyberbeveiligingsbedrijf Positive Technologies zei in een tweet op vrijdag. “Plaats zo snel mogelijk!”
Het kritieke beveiligingslek heeft gevolgen voor de volgende versies van BIG-IP-producten:
- 16.1.0 – 16.1.2
- 15.1.0 – 15.1.5
- 14.1.0 – 14.1.4
- 13.1.0 – 13.1.4
- 12.1.0 – 12.1.6
- 11.6.1 – 11.6.5
Oplossingen zijn beschikbaar in versies 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 en 13.1.5. Firmwareversies 11.x en 12.x ontvangen geen beveiligingsupdates en gebruikers die op die versies vertrouwen, moeten overwegen om te upgraden naar een nieuwere versie of de tijdelijke oplossingen toe te passen –
- Blokkeer iControl REST-toegang via het eigen IP-adres
- Blokkeer iControl REST-toegang via de beheerinterface, en
- Wijzig de BIG-IP httpd-configuratie
Vorige maand waarschuwden cyberbeveiligingsautoriteiten uit Australië, Canada, Nieuw-Zeeland, het VK en de VS gezamenlijk dat “bedreigingsactoren zich agressief richtten op nieuw onthulde kritieke softwarekwetsbaarheden tegen brede doelwitten, waaronder organisaties uit de publieke en private sector over de hele wereld.”
Nu de F5 BIG-IP-fout triviaal is bevonden om te misbruiken, wordt verwacht dat kwaadwillende hackteams dit voorbeeld volgen, waardoor het absoluut noodzakelijk is dat getroffen organisaties de patches toepassen.
