上周，F5 披露并修補了一個嚴重等級達到 9.8 / 10 分的 BIG-IP 漏洞。由于 iControl REST 身份驗證配置錯誤，黑客可借此以 root 權限運行系統命令。據悉，iControl REST 是一組用于配置和管理 BIG-IP 設備的基于 Web 的編程接口，而 BIG-IP 則是該組織用于負載均衡、防火牆、以及檢查和加密進出網絡數據的一系列設備。

ArsTechnica指出：BIG-IP 涵蓋了超過 16000 個可在線發現的設備實例，且官方宣稱有被财富 50 強中的 48 家所采用。

然而讓 Randori 安全研究主管 Aaron Portnoy 感到震驚的是：

由于身份驗證的設施方法存在缺陷，該問題竟使得能夠訪問管理界面的攻擊者僞裝系統管理員身份，之後便可與應用程序提供的所有端點進行交互、甚至執行任意代碼。

鑒于 BIG-IP 靠近網絡邊緣、且作為管理 Web 服務器流量的設備功能，它們通常處于查看受 HTTPS 保護的流量 / 解密内容的有利位置。

過去一整天，Twitter 上流傳的大量圖片，揭示了黑客是如何積極在野外利用 CVE-2022-1388 漏洞，來訪問名為 bash 的 F5 應用程序端點的。

其功能是提供一個接口，用于将用戶提供的輸入，作為具有 root 權限的 bash 命令來運行。更讓人感到震驚的是，雖然不少概念驗證（PoC）用到了密碼，但也有一些案例甚至可在不提供密碼的情況下運作。

對于如此重要的設備命令竟然被這樣松散地處置，許多業内人士都感到大為不解，此外有報告提到攻擊者可利用 webshell 後門來維持對 BIG-IP 設備的控制（即便修補後也是如此）。

在其中一個案例中，有 IP 地址為 216.162.206.213 和 209.127.252.207 的攻擊者将有效載荷置入了 /tmp/f5.sh 的文件路徑、從而在 /usr/local/www/xui/common/css/ 中部署基于 PHP 的 webshell 後門。

當然，這并不是安全研究人員被如此離譜嚴重的漏洞給驚到。比如不少人都提到，這種情況與兩年前的 CVE-2020-5902 實在太過相似。

不過随着大家對于 CVE-2022-1388（RCE）漏洞的易得性、強大功能、以及廣泛性有了更深入的了解，相關風險也正籠罩到更多人的頭上。

如果你所在的組織機構正在使用 F5 的 BIG-IP 設備，還請着重檢查并修補該漏洞、以減輕任何可能遇到的潛在風險。

有需要的話，可參考 Randori熱心提供的漏洞詳情分析 / 單行 bash 腳本，并抽空詳閱 F5 給出的其它建議與指導（KB23605346）。

,

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!

查看全部