CISA kêu gọi các tổ chức vá lỗ hổng F5 BIG-IP được khai thác tích cực

F5 Lỗ hổng BIG-IP

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung lỗ hổng được tiết lộ gần đây vào Danh mục các lỗ hổng được khai thác đã biết sau các báo cáo về lạm dụng đang hoạt động.

Lỗ hổng được gán mã nhận dạng CVE-2022-1388 (điểm CVSS: 9,8), liên quan đến một lỗi nghiêm trọng trong điểm cuối BIG-IP iControl REST cung cấp cho kẻ thù chưa được xác thực một phương thức để thực thi các lệnh hệ thống tùy ý.

“Kẻ tấn công có thể sử dụng lỗ hổng này để bất cứ điều gì chúng muốn trên máy chủ dễ bị tấn công”, Horizon3.ai cho biết trong một báo cáo. “Điều này bao gồm thực hiện các thay đổi cấu hình, đánh cắp thông tin nhạy cảm và di chuyển ngang trong mạng mục tiêu.”

Các bản vá và biện pháp giảm thiểu lỗ hổng đã được F5 công bố vào ngày 4 tháng 5, nhưng nó đã bị khai thác rầm rộ trong tuần qua, với những kẻ tấn công cố gắng cài đặt một trình bao web cấp quyền truy cập cửa hậu vào các hệ thống được nhắm mục tiêu.

Nhà nghiên cứu bảo mật Ron Bowes của Rapid7 lưu ý: “Do sự dễ dàng khai thác lỗ hổng này, mã khai thác công khai và thực tế là nó cung cấp quyền truy cập root, các nỗ lực khai thác có thể sẽ tăng lên”. “Việc khai thác rộng rãi phần nào bị giảm bớt do số lượng nhỏ các thiết bị F5 BIG-IP có kết nối internet.”

Xem tiếp:   Các chuyên gia Khám phá Backdoor Được triển khai trên Mạng của Cơ quan Liên bang Hoa Kỳ

Mặc dù F5 kể từ đó đã sửa đổi tư vấn của mình để bao gồm những gì nó cho là chỉ số thỏa hiệp “đáng tin cậy”, nó đã cảnh báo rằng “kẻ tấn công có kỹ năng có thể xóa bằng chứng về thỏa hiệp, bao gồm các tệp nhật ký, sau khi khai thác thành công.”

Để làm cho vấn đề tồi tệ hơn, bằng chứng đã xuất hiện cho thấy lỗ hổng đang được sử dụng để xóa hoàn toàn các máy chủ được nhắm mục tiêu như một phần của các cuộc tấn công phá hoại khiến chúng không thể hoạt động bằng cách đưa ra lệnh “rm-rf / *” xóa đệ quy tất cả các tệp.

“Do máy chủ web chạy dưới quyền root, điều này sẽ xử lý mọi máy chủ dễ bị tấn công ngoài đó và phá hủy bất kỳ thiết bị BIG-IP nào dễ bị tấn công”, SANS Internet Storm Center (ISC) cho biết trên Twitter.

Do tác động tiềm ẩn của lỗ hổng bảo mật này, các cơ quan Chi nhánh Điều hành Dân sự Liên bang (FCEB) đã được yêu cầu vá tất cả các hệ thống chống lại sự cố này trước ngày 31 tháng 5 năm 2022.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / tấn công mạng Hơn một …