F5 BIG-IP ve BIG-IQ cihazlarında, başarılı bir şekilde istismar edildiğinde etkilenen sistemleri tamamen tehlikeye atan birden fazla güvenlik açığı ifşa edilmiştir.
Siber güvenlik firması Rapid7, kusurların cihazlara uzaktan erişim sağlamak ve güvenlik kısıtlamalarını aşmak için kötüye kullanılabileceğini söyledi.
18 Ağustos 2022’de F5’e bildirilen yüksek önem dereceli iki sorun şu şekildedir:
- CVE-2022-41622 (CVSS puanı: 8.8) – iControl SOAP aracılığıyla, kimliği doğrulanmamış uzaktan kod yürütülmesine yol açan siteler arası istek sahteciliği (CSRF) güvenlik açığı.
- CVE-2022-41800 (CVSS puanı: 8.7) – Yönetici rolüne sahip kimliği doğrulanmış bir kullanıcının Cihaz modu kısıtlamalarını atlamasına izin verebilecek bir iControl REST güvenlik açığı.
Rapid7 araştırmacısı Ron Bowes, “En kötü güvenlik açıklarından (CVE-2022-41622) başarıyla yararlanan bir saldırgan, cihazın yönetim arabirimine (yönetim arabirimi internete dönük olmasa bile) kalıcı kök erişimi sağlayabilir.” dedi.
Bununla birlikte, böyle bir istismarın, etkin bir oturuma sahip bir yöneticinin düşmanca bir web sitesini ziyaret etmesini gerektirdiğini belirtmekte fayda var.
Ayrıca, F5’in önceden belgelenmemiş bir mekanizma aracılığıyla mevcut güvenlik engellerini aşmadan yararlanılamayacağını söylediği üç farklı güvenlik baypas durumu tespit edildi.
Böyle bir senaryo ortaya çıkarsa, araca Gelişmiş Kabuk (bash) erişimi olan bir düşman, keyfi sistem komutlarını yürütmek, dosya oluşturmak veya silmek veya hizmetleri devre dışı bırakmak için bu zayıflıkları silah haline getirebilir.
F5, saldırılarda istismar edilen güvenlik açıklarından bahsetmese de, kullanıcıların olası riskleri azaltmak için gerekli yamaları uygulamaları önerilir.