Saldırganlar, playload’ları dağıtmak için tüm F5 BIG-IP modüllerinin birden çok sürümünü etkileyen CVE-2022-1388 olarak izlenen kritik güvenlik açığından büyük ölçüde yararlanmaya başladı. F5 geçen hafta , CVE-2022-1388 olarak izlenen BIG-IP ağ cihazlarında yeni bir kritik uzaktan kod yürütmeyi açıklamıştı. Bu güvenlik açığı, BIG-IP iControl REST kimlik doğrulama bileşenini etkiliyor ve saldırganların kimlik doğrulamasını atlamasına ve yükseltilmiş ayrıcalıklarla cihazda komutlar yürütmesine olanak tanıyordu. Bunun üzerine F5 , BIG-IP iControl REST kimlik doğrulama bileşenini etkileyen güvenlik sorunu (9.8 önem derecesi) için güncellemeler yayınlamıştı.
Şirket, bu gün bir kez daha güvenlik açığının BIG-IP sistemindeki kimliği doğrulanmamış bir saldırganın “sistem üzerine komutları çalıştırmasına, dosya oluşturmasına veya silmesine veya hizmetleri devre dışı bırakmasına” olanak tanıdığı konusunda uyardı. Şu anda internete açık onlarca BIG-IP sistemi var, bu nedenle saldırganlar şirket ağını ihlal etmek için istismardan uzaktan yararlanabilir.
Güvenlik araştırmacıları yaptıkları açıklamada zafiyeti istismar ettiklerini ve yöneticilerin en son güncellemeleri hemen yüklemeleri konusunda uyardı.
Exploit’ler aktif kullanılmaya başlandı
Cronup güvenlik araştırmacısı Germán Fernández, saldırganların PHP webshell “/tmp/f5.sh” dizinine attığını ve bunları “/usr/local/www/xui/common/css/” dizinine yüklediğini gözlemledi.
İstismar hali hazırda herkese açık olarak yaygın bir şekilde paylaşıldığından, yöneticilere mevcut yamaları derhal yüklemeleri, genel internet üzerinden yönetim arayüzüne erişimi kaldırmaları veya güncellemeler yüklenene kadar F5 tarafından sağlanan azaltmaları uygulamaları şiddetle tavsiye ediliyor:
- IP adresi aracılığıyla iControl REST erişimini engelleyin
- Yönetim arabirimi aracılığıyla iControl REST erişimini engelleyin
- BIG-IP httpd yapılandırmasını değiştirin
Tüm güvenlik güncellemeleri ve hafifletmeler hakkında ayrıntılı bilgiler de dahil olmak üzere F5’in bu güvenlik açığına ilişkin tavsiyesi buradan ulaşabilirsiniz.
Kaynak: bleepingcomputer.com
