Η F5 κυκλοφόρησε hotfixes για τα προϊόντα της BIG-IP και BIG-IQ, αντιμετωπίζοντας δύο ελαττώματα υψηλής σοβαρότητας που επιτρέπουν στους επιτιθέμενους να εκτελούν μη εξουσιοδοτημένη απομακρυσμένη εκτέλεση κώδικα (RCE). Οι διορθώσεις αυτές αντιμετωπίζουν το ζήτημα, ώστε οι χρήστες να έχουν ασφαλή πρόσβαση στα δεδομένα τους.
Δείτε επίσης: Τεράστιο κύμα επιθέσεων TrojanOrders: Στόχος τα Magento stores
Παρόλο που αυτά τα τρωτά σημεία δεν είναι εύκολο να αξιοποιηθούν, θα μπορούσαν να οδηγήσουν σε μια επίθεση πλήρους κλίμακας στη συσκευή.
Το πρώτο καταγεγραμμένο ελάττωμα, CVE-2022-41622 (CVSS v3 – 8.8), είναι ένα μη εξουσιοδοτημένο RCE μέσω πλαστογραφίας cross-site στο iControl SOAP, επηρεάζοντας πολλές εκδόσεις BIG-IP και BIG-IQ.
Το δεύτερο ελάττωμα είναι το CVE-2022-41800 (CVSS v3 – 8.7), ένα πιστοποιημένο RCE μέσω RPM spec injection, που επηρεάζει το component iControl REST.
Οι εκδόσεις του BIG-IP που επηρεάζονται είναι:
- 13.1.0 – 13.1.5
- 14.1.0 – 14.1.5
- 15.1.0 – 15.1.8
- 16.1.0 – 16.1.3
- 17.0.0
Οι εκδόσεις του BIG-IQ που επηρεάζονται είναι:
- 7.1.0
- 8.0.0 – 8.2.0
Εάν είστε πελάτης που έχει επηρεαστεί, σας συνιστούμε να ζητήσετε από την F5 το τεχνικό hotfix για την έκδοση του προϊόντος σας και να το εγκαταστήσετε χειροκίνητα.
Ως διαχειριστής, θα πρέπει επίσης να απενεργοποιήσετε το Basic Authentication για το iControl SOAP μετά την εγκατάσταση του hotfix για την επίλυση του CVE-2022-41622.
Δείτε επίσης: Δύο Ρώσοι κατηγορούνται για τη λειτουργία του πειρατικού site Z-Library
Ας δούμε τις τεχνικές λεπτομέρειες που κυκλοφόρησαν
Οι ερευνητές της Rapid7 ανακάλυψαν τις ευπάθειες τον Ιούλιο του 2022 και τις ανέφεραν στην F5 τον επόμενο Αύγουστο.
Χθες, η Rapid7 δημοσίευσε μια λεπτομερή αναφορά για τα ελαττώματα που αποκαλύπτουν τις τεχνικές λεπτομέρειες των τρωτών σημείων.
Παρά τις δυνατότητες αυτής της επίθεσης, ένας διαχειριστής θα πρέπει να χρησιμοποιεί ενεργά το ίδιο πρόγραμμα περιήγησης για να επισκεφθεί έναν κακόβουλο ιστότοπο με αυτόν που χρησιμοποιείται για τη διαχείριση του BIG-IP, προκειμένου να λειτουργήσει.
Επίσης, ο επιτιθέμενος θα πρέπει να γνωρίζει τη διεύθυνση του στοχευόμενου συστήματος BIG-IP, προκειμένου να πραγματοποιήσει το “cross-site request forgery” κατά του διαχειριστή.
Εξαιτίας αυτού, ο ερευνητής της Rapid7, Ron Bowes, πιστεύει ότι είναι απίθανο οι ευπάθειες να τύχουν ευρείας εκμετάλλευσης.
Με το CVE-2022-41800, ο επιτιθέμενος πρέπει να έχει προνόμια ‘Resource Admin’ ή υψηλότερα για να προκαλέσει σημαντική ζημιά.
Δείτε επίσης: Επιθέσεις σε websites αεροδρομίων των ΗΠΑ. Η επόμενη μέρα
Καμία από τις ευπάθειες που αποκάλυψε η Rapid7 δεν έχει γίνει γνωστό ότι έχει γίνει αντικείμενο εκμετάλλευσης.
Οι αναλυτές έχουν δημοσιεύσει εκτενείς τεχνικές λεπτομέρειες, συμπεριλαμβανομένου ενός proof of concept exploit για το CVE-2022-41622. Ως εκ τούτου, είναι ζωτικής σημασίας να αντιμετωπιστούν οι ευπάθειες το συντομότερο δυνατό.
Εκτός από τα δύο ελαττώματα υψηλής σοβαρότητας, η Rapid7 ανακάλυψε επίσης πολλές μεθόδους παράκαμψης ελέγχου ασφαλείας (SELinux), αλλά αυτές δεν θα διορθωθούν καθώς ο πωλητής δεν τις θεώρησε πρακτικά εκμεταλλεύσιμες.
Τα σφάλματα RCE είναι μερικοί από τους πιο επικίνδυνους τύπους ελαττωμάτων ασφαλείας που μπορεί να υπάρχουν στο λογισμικό. Αυτές οι ευπάθειες μπορούν να επιτρέψουν στους επιτιθέμενους να πάρουν τον πλήρη έλεγχο ενός συστήματος εξ αποστάσεως και να κάνουν ό,τι θέλουν – από την εγκατάσταση κακόβουλου λογισμικού έως την κλοπή ευαίσθητων δεδομένων.
Πηγή πληροφοριών: bleepingcomputer.com
