Kritisk F5 BIG-IP-fejl bruges til angreb

PoC-exploit tilgængelig.

Næsten 10 dage efter, at applikationssikkerhedsfirmaet F5 Networks frigav patches til kritiske sårbarheder i sine BIG-IP- og BIG-IQ-produkter, ses der massescanning og angreb mod eksponerede og ikke-patchede netværksenheder. Det skriver The Hacker News m.fl.

Nyheden om exploit-in-the-wild kommer i hælene på en proof-of-concept-exploit, der efter det oplyste er dukket op online tidligere på ugen. PoC’en er lavet ved hjælp af reverse engineering af Java-softwarepatchen i BIG-IP.

Høj CVSS-score på 9,8

Fejlene påvirker BIG-IP version 11.6 eller 12.x og nyere med en kritisk afvikling af kode (CVE-2021-22986) samt BIG-IQ version 6.x og 7.x. CVE-2021-22986 (CVSS score: 9,8). Fejlene er bemærkelsesværdige, eftersom det er en uautentificeret, ekstern sårbarhed til eksekvering af en kommando, der påvirker iControl REST-grænsefladen. Det gør, at en hacker kan afvikle vilkårlige systemkommandoer, oprette eller slette filer og deaktivere tjenester uden behov for godkendelse.

Udnyttelse af disse sårbarheder kan medføre kompromittering af følsomme systemer, herunder muligheden for fjernafvikling af kode samt medføre et bufferoverløb, hvilket fører til et denial of service (DoS) -angreb.

Exploit ude

Mens F5 i forbindelse med opdateringen den 10. marts oplyste, at de ikke var bekendt med offentlig udnyttelse af sårbarhederne, har forskere fra NCC Group ifølge The Hacker News oplyst, at de nu har fundet bevis for "fuld kædeudnyttelse af F5 BIG-IP / BIG-IQ iControl REST API-sårbarheder CVE-2021 -22986". Dette skulle have været sket i kølvandet på flere udnyttelsesforsøg mod dets honeypot-infrastruktur.

Derudover har Palo Alto Networks' Unit 42-trusselunderretningsteam oplyst, at de fandt forsøg på at udnytte CVE-2021-22986 til at installere en variant af Mirai botnet. Men det er ikke umiddelbart klart, om disse angreb har været vellykket.

The Hacker News skriver i en kommentar, at ”..det ikke bør komme som nogen overraskelse, at dette er anden gang på et år, at F5-apparater er blevet et lukrativt mål for udnyttelse i betragtning af populariteten af ​​BIG-IP / BIG-IQ i virksomheds- og regeringsnetværk.”

Sidste juli adresserede virksomheden en lignende kritisk fejl (CVE-2020-5902), hvorefter den blev misbrugt af iranske og kinesiske statsstøttede hackinggrupper, hvilket fik CISA til at udsende en advarsel, der advarede om en "bred scanningsaktivitet for tilstedeværelsen af ​​denne sårbarhed på tværs af føderale afdelinger og agenturer."

F5 opfordrer sine kunder til at opdatere deres BIG-IP- og BIG-IQ-implementeringer.

Links:  

https://cert.dk/da/news/2021-11-03/Saarbarheder-i-F5s-BIG-IP-platform

https://thehackernews.com/2021/03/latest-f5-big-ip-bug-under-active.html

https://www.bleepingcomputer.com/news/security/critical-f5-big-ip-vulnerability-now-targeted-in-ongoing-attacks