Rapid7 uzmanları, çeşitli güvenlik açıklarına sahip olduğu tespit edilen F5 BIG-IP ve BIG-IQ cihazlarında çalışan özelleştirilmiş bir CentOS kurulumu gözlemledi.
Diğer kusurlar, F5’in güvenlik açıklarını dikkate almadığı güvenlik atlama yöntemleri olsa da, güvenlik açıklarından ikisi, yüksek önem dereceli uzaktan kod yürütme güvenlik açıkları olarak kategorize edilmiş ve CVE kimlikleri verilmiştir.
Güvenlik Açıkları Keşfedildi
İlk yüksek öneme sahip kusur şu şekilde izlenir: (CVE-2022-41622) BIG-IP ve BIG-IQ ürünlerini etkileyen siteler arası istek sahteciliği (CSRF) yoluyla kimliği doğrulanmamış bir uzaktan kod yürütmedir.
Bu durumda, bir cihazın yönetim arabirimi internete açık olmasa bile istismar, kimliği doğrulanmamış uzak bir saldırganın root erişimi elde etmesine olanak sağlayabilir.
“Bir saldırgan, en azından kaynak yöneticisi rolü ayrıcalığına sahip olan ve iControl SOAP’ta temel kimlik doğrulama yoluyla kimliği doğrulanan kullanıcıları kritik eylemler gerçekleştirmeleri için kandırabilir. Bir saldırgan, bu güvenlik açığından veri düzlemi aracılığıyla değil, yalnızca kontrol düzlemi aracılığıyla yararlanabilir. Güvenlik açığı kötüye kullanılırsa, tüm sistemi tehlikeye atabilir.” F5 tarafından yayınlanan danışma belgesini okur.
Rapor, istismarın, saldırganın hedeflenen ağa aşina olmasını ve oturum açmış bir yöneticiyi istismar için tasarlanmış kötü amaçlı bir web sitesini ziyaret etmeye ikna etmesini gerektirdiğini söylüyor.
Web tarayıcısında temel kimlik doğrulaması ile iControl SOAP’ta kimlik doğrulaması yaptıysanız bu saldırı önlenemez. Bu kimlik doğrulama mekanizması yaygın değildir ve Yapılandırma yardımcı programı için oturum açma sayfasını kullanmaktan farklıdır.
F5, web tarayıcı kimlik doğrulaması için temel kimlik doğrulamanın kullanılmamasını önerir. Web tarayıcısında bir web tarayıcı kimlik doğrulama açılır penceresi varsa kimlik bilgilerini girmeyin.
İkinci yüksek önemdeki kusur, (CVE-2022-41800)yönetici haklarına sahip bir saldırganın RPM belirtim dosyaları aracılığıyla rasgele kabuk komutları yürütmesine olanak tanır.
Cihaz modu iControl REST’te bulunur ve RPM spec enjeksiyonu yoluyla kimliği doğrulanmış bir uzaktan kod yürütmesidir. Yönetici rolüne atanmış uygun kullanıcı kimlik bilgilerine sahip kimliği doğrulanmış bir kullanıcı, Cihaz modundaki kısıtlamaları atlayabilir.
“Cihaz modunda, Yönetici rolü atanmış geçerli kullanıcı kimlik bilgilerine sahip kimliği doğrulanmış bir kullanıcı, Cihaz modu kısıtlamalarını atlayabilir. Bu bir kontrol düzlemi sorunudur; veri düzlemi teşhiri yoktur”, danışma belgesini okur
“Cihaz modu, belirli bir lisans tarafından zorunlu kılınır veya bireysel Sanal Kümelenmiş Çoklu İşleme (vCMP) konuk örnekleri için etkinleştirilebilir veya devre dışı bırakılabilir”.
Bu durumda F5, iControl REST’e erişimi yalnızca güvenilir ağlar veya cihazlarla sınırlayarak tehdit yüzeyini azaltan geçici hafifletmeler önerir.
Yüksek düzeyde ayrıcalıklı bir yönetici hesabına erişmek için saldırganın doğru kimlik bilgilerine sahip olması gerekir. Sonuç olarak, erişimin sınırlandırılması, cihazı yine de güvenilir menzil içindeki saldırıya uğramış bir cihazdan veya içeriden gelen bir tehditten kaynaklanan yanal hareketlere karşı savunmasız bırakabilir.
Aşağıdakiler, iki SELinux baypas tekniği ve kötü UNIX yuva izinleri yoluyla bir yerel ayrıcalık artışı dahil olmak üzere, F5’in yararlanılamaz olduğu için reddettiği güvenlik denetimlerinin atlamalarıdır.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin