F5 Networks, cihaz modunda çalışan BIG-IP ürünlerinde yüksek aralıklı komut enjeksiyon güvenlik açığı (CVE-2025-31644) açıkladı.
Güvenlik açığı, açıklanmayan bir iControl REST uç noktasında ve BIG-IP TMOS kabuğu (TMSH) komutunda bulunur ve saldırganların cihaz modu güvenlik kısıtlamalarını atlamasına izin verir.
CWE-78 olarak sınıflandırılan (bir OS komutunda kullanılan özel elemanların uygunsuz nötralizasyonu), kusura 8.7 CVSS V3.1 skoru ve her ikisi de “yüksek” şiddet olarak derecelendirilen CVSS V4.0 skoru 8.5 aldı.
.png
)
F5, güvenlik danışmanında “Bu komut enjeksiyon güvenlik açığı, kimlik doğrulamalı bir saldırganın bir güvenlik sınırını geçmesine ve keyfi gelişmiş kabuk (BASH) komutları yürütmesine izin verebilir” dedi.
Güvenlik açığı BIG-IP sürümlerini etkiler.
F5 BIG-IP “Kaydet” komutunda komut enjeksiyonu
Deloitte’nin güvenlik araştırmacısı Matei “Mal” Badanoiu, “Kaydet” komutunun “dosya” parametresinin enjeksiyon saldırılarına komuta karşı özellikle savunmasız olduğunu keşfetti.
Kullanıldığında, bu güvenlik açığı, saldırganların istenmeyen işlemleri yüksek ayrıcalıklarla yürütmek için komut sözdizimini manipüle etmesine izin verir.
GitHub’da yayınlanan bir kavram kanıtı istismarı, saldırganların meşru operasyonları bölmek ve keyfi komutları enjekte etmek için Shell Metacharacters kullanarak kötü niyetli komutlar nasıl oluşturabileceğini göstermektedir:
Bu istismar, kaydet komutunu \} ile erken sona erdirir; Mevcut kullanıcının kimlik -ateşleme yürütmesini kök olarak yazdırmak için BASH -C kimliği üzerinden bir sistem çağrısı düzenler ve yürütür.
Güvenlik açığı, yalnızca geçerli yönetici kimlik bilgilerine sahip olan ve etkilenen IControl REST uç noktasına ağ erişimi veya etkilenen TMSH komutuna yerel erişim olan saldırganlar tarafından kullanılabilir.
Saldırı yüzeyi kimliği doğrulanmış kullanıcılarla sınırlı olsa da, potansiyel etki, ayrıcalıklı kullanıcıların amaçlanan yetkilendirme düzeylerinin ötesinde komutları yürütmesine izin verdiği için önemli kalır.
Başarılı bir sömürü, saldırganların şunları sağlar:
- Kök ayrıcalıkları ile keyfi sistem komutlarını yürütün.
- BIG-IP yönetim bağlantı noktası üzerinden dosyaları oluşturun veya silin.
- Self IP adreslerine erişin.
- Bypass Appliance modu güvenlik kısıtlamaları.
Güvenlik uzmanları, veri düzlemine maruz kalma olmadığını, yani güvenlik açığının yalnızca kontrol düzlemiyle sınırlı olduğu belirtiliyor.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Big-IP Sürümleri: 17.1.0-17.1.216.1.0-16.1.515.1.0-15.1.10 |
| Darbe | Rasgele sistem komutlarını kök olarak yürüt |
| Önkoşuldan istismar | – Geçerli Yönetici Kimlik Bilgileri- Icontrol Rest API veya TMSH kabuğuna erişim |
| CVSS 3.1 puanı | 8.7 (Yüksek) |
İyileştirme
F5, etkilenen sürümler için yamalar yayınladı: 17.1.2.2, 16.1.6 ve 15.1.10.7. Kuruluşların bu yamalı sürümleri hemen güncellemeleri şiddetle tavsiye edilir.
Hemen yamalanamayan sistemler için F5, geçici hafifletmenin uygulanmasını önerir:
- Port kilitleme ayarlarını “Hiçbirine İzin Ver” olarak değiştirerek IControl Rest erişimini bloke edin.
- Yönetim arayüzü aracılığıyla IControl Rest erişimini engelleyin.
- SSH’nin yalnızca güvenilir ağlara erişimini kısıtlayın.
- Belirli IP aralıklarına erişimi sınırlamak için paket filtreleme kullanın.
F5, “Bu saldırı meşru, kimlik doğrulamalı yönetici rol kullanıcıları tarafından yürütüldüğünden, kullanıcıların BIG-IP sistemine erişmesine izin veren uygulanabilir bir azaltma yoktur. Tek hafifletme, tamamen güvenilmeyen kullanıcılar için erişimi kaldırmaktır” dedi.
F5 BIG-IP kullanan kuruluşlar, maruziyetlerini derhal değerlendirmeli ve bu kritik kırılganlığa karşı çevrelerini korumak için gerekli yamaları veya hafifletmeyi uygulamalıdır.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri