Nur wenige Tage nachdem F5 Patches für eine kritische Sicherheitslücke in der BIG-IP-Produktfamilie veröffentlicht hat, warnen Sicherheitsforscher, dass es ihnen gelungen ist, einen Exploit für die Lücke zu entwickeln.
Die Schwachstelle mit der Bezeichnung CVE-2022-1388 (CVSS-Score: 9.8) bezieht sich auf eine Umgehung der iControl REST-Authentifizierung, die bei erfolgreicher Ausnutzung zu einer Remote-Code-Ausführung führen kann, so dass ein Angreifer einen ersten Zugang erhält und die Kontrolle über ein betroffenes System übernehmen kann.
Dies kann vom Einsatz von Cryptocurrency-Minern bis hin zum Einsatz von Web-Shells für Folgeangriffe wie Informationsdiebstahl und Ransomware reichen.
„Wir haben die neue Sicherheitslücke CVE-2022-1388 in F5’s BIG-IP reproduziert“, teilte das Cybersicherheitsunternehmen Positive Technologies am Freitag in einem Tweet mit. „Patch ASAP!“
Die kritische Sicherheitslücke betrifft die folgenden Versionen der BIG-IP Produkte –
16.1.0 – 16.1.2
15.1.0 – 15.1.5
14.1.0 – 14.1.4
13.1.0 – 13.1.4
12.1.0 – 12.1.6
11.6.1 – 11.6.5
Korrekturen sind in den Versionen 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 und 13.1.5 verfügbar. Die Firmware-Versionen 11.x und 12.x erhalten keine Sicherheitsupdates und Nutzer/innen, die diese Versionen verwenden, sollten ein Upgrade auf eine neuere Version in Betracht ziehen oder die Workarounds anwenden –
Blockiere den iControl REST-Zugang über die eigene IP-Adresse
Blockiere den iControl REST-Zugriff über die Verwaltungsschnittstelle, und
Ändern Sie die BIG-IP httpd-Konfiguration
Letzten Monat warnten die Cybersicherheitsbehörden von Australien, Kanada, Neuseeland, Großbritannien und den USA gemeinsam davor, dass „Bedrohungsakteure die neu bekannt gewordenen kritischen Softwareschwachstellen aggressiv gegen eine Vielzahl von Zielgruppen, einschließlich Organisationen des öffentlichen und privaten Sektors weltweit, einsetzen“.
Da sich die F5 BIG-IP-Schwachstelle als trivial herausgestellt hat, ist zu erwarten, dass böswillige Hacker diesem Beispiel folgen werden, so dass die betroffenen Unternehmen unbedingt die Patches anwenden müssen.