Yakın zamanda açıklanan bir F5 BIG-IP güvenlik açığı, bir cihazın dosya sistemini silmeye ve sunucuyu kullanılamaz hale getiren bir saldırıda aktif olarak kullanıldı. F5 geçen hafta, CVE-2022-1388 olarak izlenen ve uzaktan saldırganların BIG-IP ağ cihazlarında kimlik doğrulaması olmadan “root” olarak komut yürütmesine olanak tanıyan bir güvenlik açığını açıkladı. Hatanın kritik yapısı nedeniyle F5, yöneticileri mümkün olan en kısa sürede güncellemeleri uygulamaya çağırdı. Birkaç gün sonra, araştırmacılar istismar kodularını Twitter ve GitHub’da herkese açık bir şekilde yayınlamaya başladı. Bunun üzerinden çok zaman geçmeden saldırganlar F5 cihazlarına saldırmaya başladı.
SANS, hedeflenen BIG-IP cihazında ‘rm -rf /*’ komutunu çalıştıran 177.54.127[.]111 IP adresinden gelen iki saldırı gördüğünü söyledi.
Bu komut, yürütüldüğünde BIG-IP cihazlarının Linux dosya sistemindeki tüm dosyaları silmeye çalışacaktır. İstismar, BIG-IP cihazlarına güç sağlayan Linux işletim sistemlerinde saldırganlara kök ayrıcalıkları verdiğinden , rm -rf /* komutu, cihazın doğru çalışması için gerekli yapılandırma dosyaları da dahil olmak üzere hemen hemen her dosyayı silebilecek. Güvenlik araştırmacısı Kevin Beaumont, “Dünya çapında cihazları bu akşam siliniyor, Shodan’daki birçok kişi yanıt vermeyi kesti” dedi . Ancak Beaumont’un, yanlış yapılandırıldıkları takdirde saldırıların yönetim dışı bağlantı noktalarındaki cihazları da etkilediğini bulduğunu söyledi.
F5, müşterilerini tekrar uyararak güncellemelerin bir an önce yapılmasını bir kez daha tekrarladı.
Kaynak: bleepingcomputer.com
