Les chercheurs s’émerveillent devant la portée et l’ampleur d’une vulnérabilité que les pirates exploitent activement pour prendre le contrôle total des périphériques réseau qui fonctionnent sur certains des réseaux les plus grands et les plus sensibles au monde.
La vulnérabilité, qui porte un indice de gravité de 9,8 sur 10 possibles, affecte le BIG-IP de F5, une gamme d’appliances que les organisations utilisent comme équilibreurs de charge, pare-feu et pour l’inspection et le cryptage des données entrant et sortant des réseaux. Il y a plus de 16 000 instances de l’équipement détectable en ligne, et F5 dit qu’il est utilisé par 48 des Fortune 50. Compte tenu de la proximité de BIG-IP avec les bords du réseau et de leurs fonctions en tant qu’appareils qui gèrent le trafic pour les serveurs Web, ils sont souvent en position pour voir le contenu déchiffré du trafic protégé par HTTPS.
La semaine dernière, F5 a révélé et corrigé une vulnérabilité BIG-IP que les pirates peuvent exploiter pour exécuter des commandes qui s’exécutent avec les privilèges du système root. La menace provient d’une implémentation d’authentification défectueuse d’iControl REST, un ensemble d’interfaces de programmation Web pour la configuration et la gestion des appareils BIG-IP.
« Ce problème permet aux attaquants ayant accès à l’interface de gestion de se faire passer pour un administrateur en raison d’une faille dans la mise en œuvre de l’authentification », a déclaré Aaron Portnoy, directeur de la recherche et du développement de la société de sécurité Randori, dans un message direct. « Une fois que vous êtes administrateur, vous pouvez interagir avec tous les points de terminaison fournis par l’application, y compris celui qui exécute directement les commandes. »
Les images flottant sur Twitter au cours des dernières 24 heures montrent comment les pirates peuvent utiliser l’exploit pour accéder à un point de terminaison d’application F5 nommé bash. Sa fonction est de fournir une interface pour exécuter l’entrée fournie par l’utilisateur en tant que commande bash avec les privilèges root.
Alors que de nombreuses images montrent un code d’exploit fournissant un mot de passe pour exécuter des commandes, les exploits fonctionnent également lorsque aucun mot de passe n’est fourni. L’image a rapidement attiré l’attention des chercheurs qui se sont émerveillés de la puissance d’un exploit permettant l’exécution de commandes root sans mot de passe. En plaisantant à moitié, certains ont demandé comment une fonctionnalité aussi puissante aurait pu être si mal verrouillée.
Résumer:
– Le point de terminaison /mgmt/tm/util/bash est une fonctionnalité qui a été jugée nécessaire
– Aucune authentification n’est requise pour ce terminal
– Le serveur Web s’exécute en tant que rootEt tout cela a passé les contrôles de santé mentale à F5 et le produit a été expédié pour $$$$
Est-ce que je manque quelque chose? pic.twitter.com/W55w0vMTAI– Will Dormann (@wdormann) 9 mai 2022
Je ne suis pas entièrement convaincu que ce code n’a pas été planté par un développeur effectuant de l’espionnage d’entreprise pour une entreprise de réponse aux incidents comme une sorte de système de garantie de revenus.
Si oui, brillant. Sinon, WTAF… https://t.co/4F237teFa2
– Jake Williams (@MalwareJake) 9 mai 2022
Ailleurs sur Twitter, les chercheurs ont partagé le code d’exploitation et ont signalé avoir vu des exploits dans la nature qui laissaient tomber des webshells de porte dérobée que les acteurs de la menace pourraient utiliser pour garder le contrôle sur les appareils BIG-IP piratés même après qu’ils aient été corrigés. Une telle attaque a montré que les acteurs de la menace des adresses 216.162.206.213 et 209.127.252.207 déposaient une charge utile dans le chemin du fichier /tmp/f5.sh pour installer le webshell basé sur PHP dans /usr/local/www/xui/common/css/. Dès lors, l’appareil est backdoor.
? J’essaie d’exploiter la plus grande exploitation de F5 BIG-IP CVE-2022-1388 (RCE), installé #Webshell en /usr/local/www/xui/common/css/ como backdoor para mantener el acceso.
Attaqués par :
216.162.206.213
209.127.252.207Payload escribe en /tmp/f5.sh, ejecuta y elimina. pic.twitter.com/W9BlpYTUEU
— Germán Fernández (@1ZRR4H) 9 mai 2022
La gravité de CVE-2022-1388 a été évaluée à 9,8 la semaine dernière avant que de nombreux détails ne soient disponibles. Maintenant que la facilité, la puissance et la grande disponibilité des exploits sont mieux comprises, les risques deviennent de plus en plus urgents. Les organisations qui utilisent des équipements BIG-IP doivent donner la priorité à l’investigation de cette vulnérabilité et à la correction ou à l’atténuation de tout risque qui survient. Randori a fourni ici une analyse détaillée de la vulnérabilité et un script bash d’une ligne que les utilisateurs de BIG-IP peuvent utiliser pour vérifier l’exploitabilité. F5 a des conseils et des conseils supplémentaires ici.