Adam Bannister 16 Kasım 2022, 15:02 UTC
Güncellendi: 16 Kasım 2022, 15:06 UTC
Engeller göz önüne alındığında ‘olası olmayan’ kabul edilen yaygın sömürü
Güvenlik satıcısı F5, BIG-IP ve BIG-IQ ağ aygıtlarını etkileyen ve uzaktan kod yürütmeye (RCE) neden olabilecek bir çift güvenlik açığı için düzeltmeler hazırladı.
Yamalar içeren yazılım güncellemeleri, potansiyel olarak ciddi sonuçlara rağmen, istismara karşı önemli engellere sahip olan hatalar için boru hattındadır.
F5 kusurların en ciddisine 8,8’lik ‘yüksek’ bir CVSS puanı atadı, ancak Rapid7 bunun “düzeltmek için her şeyi bırak” durumu olmadığını söyledi.
CSRF’den RCE’ye dönüştürücü
Bir bloga göre güvenlik açığı (CVE-2022-41622), BIG-IP ve BIG-IQ’yu siteler arası istek sahteciliği (CSRF) yoluyla kimliği doğrulanmamış RCE’ye karşı savunmasız bırakıyor çünkü Big-IP’nin SOAP API’si CSRF korumasından ve diğer tipik SOAP API savunmalarından yoksundu, bir bloga göre Rapid7’de baş güvenlik araştırmacısı Ron Bowes tarafından bugün (16 Kasım) yayınlanan gönderi.
Saldırı, “cihazın yönetim arayüzüne kalıcı root erişimi sağlayabilir”, bu arayüz internete açık olmasa bile (önerildiği gibi).
Bununla birlikte, Bowes, “Bu, gerçekten yararlanılabilir olmak için bir dizi faktörü gerektirir (etkin bir oturumu olan bir yöneticinin düşmanca bir web sitesini ziyaret etmesi ve bir saldırganın hedef ağ hakkında biraz bilgi sahibi olması gerekir)” dedi.
En son kurumsal güvenlik haberlerinin devamını okuyun
Bu önkoşullar karşılanırsa, kötü niyetli kişiler kimliği doğrulanmış kullanıcının oturumunda API’ye karşı keyfi SOAP komutları verebilir.
Kusurları ortaya çıkaran Bowes, usulüne uygun olarak bulduğu “istismar yollarının birçoğu SELinux baypasları gerektiriyor” dedi.
CVE-2022-41800 olarak izlenen ikinci sorun, iControl REST’in RPM spesifikasyon enjeksiyonu yoluyla RCE’ye karşı savunmasız olduğu anlamına gelir. Ancak Bowes, iControl REST’in yalnızca cihaz modunda savunmasız olduğu ve saldırganların yönetici olarak kimliğinin doğrulanması gerektiği göz önüne alındığında riskin “düşük” olduğunu düşünüyor.
İstismar zinciri
Bowes ayrıca, “F5’in güvenlik açıklarını dikkate almadığı” ancak yine de bir açıklardan yararlanma zincirinin parçası olarak kullanılmak üzere “makul bir saldırı yüzeyine” sahip olduğu üçlü bir güvenlik kontrolü atlamasını ortaya çıkardı.
F5’in bir güncelleme betiğine komut enjeksiyonu yoluyla ortaya çıkan bir SELinux atlamasını ele aldığını, ancak bir CVE atamayı reddettiğini söyledi.
Bowes, “SELinux bir güvenlik sınırı olduğu için değerlendirmelerine katılmıyoruz” dedi.
“Normalde bunun çok düşük riskli bir güvenlik açığı olduğunu düşünürdük, ancak CVE-2022-41622’yi kod yürütmeye dönüştürmek için açıklardan yararlanma zincirinin bir parçası olarak kullandığımız için bunun önemli olduğuna inanıyoruz.”
Bowes ayrıca yanlış dosya bağlamı yoluyla bir SELinux baypası ve yetersiz UNIX yuva izinleri aracılığıyla bir yerel ayrıcalık yükseltmesi buldu.
ÖNERİLEN BIG-IP: F5 ağ yönetimi aracında RCE güvenlik açığı için kavram kanıtı yayınlandı
F5 anlattı günlük yudum:
“Rapid7 tarafından belirtildiği gibi, bilinmeyen veya keşfedilmemiş bir mekanizma kullanarak mevcut güvenlik kontrollerini atlamadan bu sorunlardan yararlanmanın bilinen bir yolu yoktur. Şu anda bir saldırganın bu sorunlardan nasıl yararlanabileceğini bilmiyoruz ve bu nedenle bunları güvenlik açıkları olarak görmüyoruz ve CVE’ler yayınlamadık.
“F5, bu sorunları derinlemesine savunma yaklaşımının bir parçası olarak değerlendiriyor ve gelecek sürümlerde bunları ele almaya çalışacak. Gelecekte tasarım veya tehdit modellerinin değişmesi durumunda oluşabilecek riskleri azaltmak için müşterilerin en iyi güvenlik uygulamalarına bağlı kalmalarını öneriyoruz.”
Düzeltmeler, yamalar
F5 şunları ekledi: “Müşterilerin maruz kalma durumlarını değerlendirmek ve önerilen hafifletmeler hakkında ayrıntılar almak için AskF5’teki güvenlik önerilerini kontrol etmelerini öneriyoruz. Mühendislik düzeltmeleri her iki CVE için istek üzerine mevcuttur ve bu düzeltmeler mümkün olan en kısa sürede gelecekteki sürümlere dahil edilecektir.”
Açıklama sırasında, F5’in güvenlik açıklarının herhangi bir aktif istismarından haberdar olmadığı anlaşılıyor. Rapid7, “yaygın sömürünün” “olası olmadığını” düşünüyor.
KAÇIRMAYIN Zendesk Explore kusurları, hesap yağmalamasına kapı açtı