Eksploitasi BIG-IP

Beberapa hari setelah F5 merilis tambalan untuk kerentanan eksekusi kode jarak jauh kritis yang memengaruhi rangkaian produk BIG-IP, peneliti keamanan memperingatkan bahwa mereka dapat membuat eksploitasi untuk kekurangan tersebut.

Dilacak CVE-2022-1388 (skor CVSS: 9,8), cacat terkait dengan bypass otentikasi iControl REST yang, jika berhasil dieksploitasi, dapat menyebabkan eksekusi kode jarak jauh, memungkinkan penyerang mendapatkan akses awal dan mengendalikan sistem yang terpengaruh.

Ini bisa berkisar dari menyebarkan penambang cryptocurrency hingga menggunakan shell web untuk serangan lanjutan, seperti pencurian informasi dan ransomware.

“Kami telah mereproduksi CVE-2022-1388 baru di BIG-IP F5,” perusahaan keamanan siber Positive Technologies dikatakan dalam tweet pada hari Jumat. “Tambal secepatnya!”

Kerentanan keamanan kritis berdampak pada versi produk BIG-IP berikut –

  • 16.1.0 – 16.1.2
  • 15.1.0 – 15.1.5
  • 14.1.0 – 14.1.4
  • 13.1.0 – 13.1.4
  • 12.1.0 – 12.1.6
  • 11.6.1 – 11.6.5

Perbaikan tersedia dalam versi 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6, dan 13.1.5. Firmware versi 11.x dan 12.x tidak akan menerima pembaruan keamanan dan pengguna yang mengandalkan versi tersebut harus mempertimbangkan untuk meningkatkan ke versi yang lebih baru atau menerapkan solusi –

  • Blokir akses iControl REST melalui alamat IP mandiri
  • Blokir akses iControl REST melalui antarmuka manajemen, dan
  • Ubah konfigurasi BIG-IP httpd

Bulan lalu, otoritas keamanan siber dari Australia, Kanada, Selandia Baru, Inggris, dan AS bersama-sama memperingatkan bahwa “pelaku ancaman secara agresif menargetkan kerentanan perangkat lunak kritis yang baru diungkapkan terhadap kumpulan target yang luas, termasuk organisasi sektor publik dan swasta di seluruh dunia.”

Dengan kelemahan F5 BIG-IP yang dianggap sepele untuk dieksploitasi, kru peretas yang berbahaya diharapkan untuk mengikutinya, sehingga organisasi yang terpengaruh harus bergerak cepat untuk menerapkan tambalan.