Kritická chyba F5 BIG-IP pri aktívnych útokoch po použití PoC zverejnená online

Takmer 10 dní po tom, čo spoločnosť na zabezpečenie aplikácií F5 Networks vydala záplaty kritických zraniteľností svojich produktov BIG-IP a BIG-IQ, začali protivníci oportunisticky masovo skenovať a zameriavať sa na odhalené a neopravené sieťové zariadenia, aby sa dostali do podnikových sietí.

Správy o využívaní vo voľnej prírode prichádzajú v pätách overovacieho kódu exploitu, ktorý sa objavil online začiatkom tohto týždňa reverzným inžinierstvom opravy softvéru Java v BIG-IP. Od 18. marca sa hovorí, že hromadné skeny narástli.

Chyby ovplyvňujú BIG-IP verzie 11.6 alebo 12.xa novšie, s kritickým vzdialeným spustením kódu (CVE-2021-22986), ktorý tiež ovplyvňuje verzie BIG-IQ 6.x a 7.X. CVE-2021-22986 (skóre CVSS: 9.8) je pozoruhodný tým, že ide o neoverenú zraniteľnosť spustenia príkazov na diaľku, ktorá ovplyvňuje rozhranie iControl REST a umožňuje útočníkovi vykonávať ľubovoľné systémové príkazy, vytvárať alebo odstraňovať súbory a deaktivovať služby bez potreby akejkoľvek autentifikácie.

Úspešné využitie týchto zraniteľností by mohlo viesť k úplnej kompromitácii citlivých systémov, vrátane možnosti vzdialeného spustenia kódu, ako aj spustenia pretečenia vyrovnávacej pamäte, čo vedie k útoku odmietnutia služby (DoS).

Zatiaľ čo F5 uviedla, že 10. marca nevedela o žiadnom verejnom využívaní týchto problémov, výskumníci z NCC Group uviedli, že teraz našli dôkazy o „úplnom reťazovom využívaní zraniteľností F5 BIG-IP/BIG-IQ iControl REST API CVE-2021“. -22986″ v dôsledku viacerých pokusov o využitie jeho infraštruktúry honeypotu.

Okrem toho tím pre spravodajstvo o hrozbách z jednotky 42 Palo Alto Networks uviedol, že našiel pokusy o zneužitie CVE-2021-22986 na inštaláciu variantu botnetu Mirai. Nie je však hneď jasné, či boli tieto útoky úspešné.

Vzhľadom na popularitu BIG-IP/BIG-IQ v podnikových a vládnych sieťach by nemalo byť prekvapením, že je to už druhýkrát za rok, čo sa zariadenia F5 stali lukratívnym cieľom využívania.

Minulý rok v júli spoločnosť riešila podobnú kritickú chybu (CVE-2020-5902), po ktorej ju zneužili iránske a čínske štátom sponzorované hackerské skupiny, čo podnietilo Americkú agentúru pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA), aby vydala varovanie pred “široká aktivita na skenovanie prítomnosti tejto zraniteľnosti naprieč federálnymi ministerstvami a agentúrami.”

„Podstata je taká [the flaws] ovplyvní všetkých zákazníkov a inštancie BIG-IP a BIG-IQ – vyzývame všetkých zákazníkov, aby čo najskôr aktualizovali svoje nasadenia BIG-IP a BIG-IQ na pevné verzie,“ poznamenal minulý týždeň senior viceprezident F5 Kara Sprague.