Les pirates exploitent la faille critique F5 BIG-IP pour lancer des portes dérobées

  • Principal
  • Nouvelles
  • Les pirates exploitent la faille critique F5 BIG-IP pour lancer des portes dérobées

Les acteurs de la menace ont commencé à exploiter massivement la vulnérabilité critique identifiée comme CVE-2022-1388, qui affecte plusieurs versions de tous les modules F5 BIG-IP, pour lancer des charges utiles malveillantes.

La semaine dernière, F5 a publié des correctifs pour le problème de sécurité (indice de gravité 9,8), qui affecte le composant d'authentification BIG-IP iControl REST.

La société a averti que la vulnérabilité permet à un attaquant non authentifié sur le système BIG-IP d'exécuter 'des commandes système arbitraires, de créer ou de supprimer des fichiers ou de désactiver des services'.

Il existe actuellement des milliers de systèmes BIG-IP exposés sur Internet, de sorte que les attaquants peuvent exploiter à distance l'exploit pour pénétrer dans le réseau de l'entreprise.

Hier, plusieurs chercheurs en sécurité ont annoncé avoir créé des exploits fonctionnels et averti les administrateurs d'installer immédiatement les dernières mises à jour.

Aujourd'hui, la bulle a éclaté et les exploits sont devenus accessibles au public car les attaques ne nécessitent que deux commandes et quelques en-têtes envoyés à un point de terminaison «bash» non corrigé exposé à Internet.

À l'heure actuelle, Twitter regorge du code d'exploitation pour CVE-2022-1388 et signale qu'il est exploité dans la nature pour lancer des webshells pour un accès prolongé à la porte dérobée.

Activement exploité pour larguer des projectiles

Le chercheur en sécurité de Cronup, Germán Fernández, a observé des acteurs de la menace plaçant des webshells PHP dans '/tmp/f5.sh' et les installant dans '/usr/local/www/xui/common/css/'.

Après l'installation, la charge utile est exécutée puis supprimée du système :

Kevin Beaumont a également vu des tentatives d'exploitation dans des attaques qui ne visaient pas l'interface d'administration. La notes que si le système F5 a été configuré 'en tant qu'équilibreur de charge et pare-feu via sa propre adresse IP, il est également vulnérable, donc cela peut devenir compliqué'.

Cependant, d'autres chercheurs ont vu CVE-2022-11388 massivement exploité contre l'interface d'administration.

Étonnamment facile à exploiter

La vulnérabilité est si facile à exploiter que certains chercheurs en sécurité pensent qu'elle ne s'est pas retrouvée dans les produits par accident, d'autant plus que le point de terminaison vulnérable s'appelle 'bash', un shell Linux populaire.

jake williams directeur exécutif du renseignement sur les cybermenaces chez Scythe, affirme que la faille pourrait être le résultat d'une erreur du développeur.

Dorman L'analyste des vulnérabilités du CERT/CC partage le même sentiment, craignant que cela ne soit un problème beaucoup plus important autrement.

Un chercheur partage son inquiétude quant à l'origine de CVE-2022-1388

Étant donné que l'exploit est déjà largement partagé publiquement, il est fortement conseillé aux administrateurs d'installer immédiatement les correctifs disponibles, de supprimer l'accès à l'interface de gestion via l'Internet public ou d'appliquer les mesures d'atténuation fournies par F5 jusqu'à ce que les correctifs puissent être installés. mises à jour:

L'avis F5 pour cette vulnérabilité, qui comprend des informations détaillées sur toutes les mises à jour de sécurité et les atténuations, peut être trouvé ici.

Pour aider les administrateurs BIG-IP, les chercheurs de la société de gestion de surface d'attaque Randori ont publié un code bash qui détermine si CVE-2022-1388 est exploitable ou non sur leurs instances.

Qu'est-ce que tu penses?