.jpg "Kerentanan F5 BIG-IP")
Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah menambahkan kelemahan F5 BIG-IP yang baru-baru ini diungkapkan ke Katalog Kerentanan yang Diketahui yang Dieksploitasi menyusul laporan penyalahgunaan aktif di alam liar.
Cacat, yang ditetapkan sebagai pengidentifikasi CVE-2022-1388 (skor CVSS: 9,8), menyangkut bug kritis di titik akhir BIG-IP iControl REST yang menyediakan metode untuk mengeksekusi perintah sistem arbitrer kepada musuh yang tidak diautentikasi.
“Seorang penyerang dapat menggunakan kerentanan ini untuk melakukan apa saja yang mereka inginkan di server yang rentan,” kata Horizon3.ai dalam sebuah laporan. “Ini termasuk membuat perubahan konfigurasi, mencuri informasi sensitif dan bergerak secara lateral di dalam jaringan target.”
Tambalan dan mitigasi untuk cacat diumumkan di F5 pada 4 Mei, tetapi telah dikenakan ke di alam liar eksploitasi selama seminggu terakhir, dengan penyerang mencoba memasang shell web yang memberikan akses pintu belakang ke sistem yang ditargetkan.
“Karena kemudahan mengeksploitasi kerentanan ini, kode eksploitasi publik, dan fakta bahwa ia menyediakan akses root, upaya eksploitasi cenderung meningkat,” kata peneliti keamanan Rapid7 Ron Bowes. “Eksploitasi yang meluas agak dikurangi dengan nomor kecil perangkat F5 BIG-IP yang menghadap internet.”
Sementara F5 telah merevisi nasihatnya untuk memasukkan apa yang diyakini sebagai indikator kompromi yang “dapat diandalkan”, ia telah memperingatkan bahwa “penyerang yang terampil dapat menghapus bukti kompromi, termasuk file log, setelah eksploitasi yang berhasil.”
Untuk membuat keadaan menjadi lebih buruk, bukti memiliki muncul bahwa kelemahan eksekusi kode jarak jauh digunakan untuk sepenuhnya menghapus server yang ditargetkan sebagai bagian dari serangan destruktif untuk membuatnya tidak dapat dioperasikan dengan mengeluarkan perintah “rm -rf /*” yang menghapus semua file secara rekursif.
“Mengingat bahwa server web berjalan sebagai root, ini harus menangani setiap server yang rentan di luar sana dan menghancurkan perangkat BIG-IP yang rentan,” SANS Internet Storm Center (ISC) dikatakan di Twitter.
Mengingat potensi dampak kerentanan ini, lembaga Federal Civilian Executive Branch (FCEB) telah diberi mandat untuk menambal semua sistem terhadap masalah ini paling lambat 31 Mei 2022.
