Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat die kürzlich bekannt gewordene F5 BIG-IP-Schwachstelle in ihren Katalog der bekannten Sicherheitslücken aufgenommen, nachdem Berichte über aktiven Missbrauch in freier Wildbahn eingegangen sind.
Die Schwachstelle mit der Kennung CVE-2022-1388 (CVSS-Score: 9.8) betrifft einen kritischen Fehler im BIG-IP iControl REST Endpunkt, der einem nicht authentifizierten Angreifer die Möglichkeit bietet, beliebige Systembefehle auszuführen.
„Ein Angreifer kann diese Schwachstelle nutzen, um auf dem verwundbaren Server so ziemlich alles zu tun, was er will“, so Horizon3.ai in einem Bericht. „Dazu gehören Konfigurationsänderungen, der Diebstahl sensibler Daten und seitliche Bewegungen innerhalb des Zielnetzwerks.“
Patches und Entschärfungen für die Schwachstelle wurden von F5 am 4. Mai angekündigt, aber in der vergangenen Woche wurde die Schwachstelle in freier Wildbahn ausgenutzt, indem Angreifer versuchten, eine Web-Shell zu installieren, die Backdoor-Zugriff auf die betroffenen Systeme gewährt.
„Da es so einfach ist, diese Schwachstelle auszunutzen, der Exploit-Code öffentlich zugänglich ist und die Schwachstelle Root-Zugriff ermöglicht, werden die Ausnutzungsversuche wahrscheinlich zunehmen“, so Ron Bowes, Sicherheitsforscher bei Rapid7. „Eine weit verbreitete Ausnutzung wird durch die geringe Anzahl von F5 BIG-IP-Geräten mit Internetanschluss etwas abgeschwächt.
F5 hat seinen Hinweis inzwischen überarbeitet und nennt nun „verlässliche“ Indikatoren für eine Kompromittierung, warnt aber davor, dass „ein geschickter Angreifer die Beweise für eine Kompromittierung, einschließlich der Protokolldateien, nach erfolgreicher Ausnutzung entfernen kann“.
Erschwerend kommt hinzu, dass es Hinweise darauf gibt, dass die Schwachstelle zur Remotecodeausführung genutzt wird, um die betroffenen Server im Rahmen von destruktiven Angriffen vollständig zu löschen und funktionsunfähig zu machen, indem der Befehl „rm -rf /*“ ausgeführt wird, der alle Dateien rekursiv löscht.
„Da der Webserver als Root läuft, sollte dies jeden anfälligen Server da draußen erledigen und jede anfällige BIG-IP Appliance zerstören“, erklärte das SANS Internet Storm Center (ISC) auf Twitter.
Angesichts der potenziellen Auswirkungen dieser Sicherheitslücke sind die Behörden der zivilen Bundesverwaltung (Federal Civilian Executive Branch, FCEB) verpflichtet, alle Systeme bis zum 31. Mai 2022 mit Patches gegen die Sicherheitslücke zu schützen.