Les acteurs de la menace ont commencé à exploiter massivement la vulnérabilité critique suivie comme CVE-2022-1388qui affecte plusieurs versions de tous les modules F5 BIG-IP, pour supprimer les charges utiles malveillantes.
F5 a publié la semaine dernière des correctifs pour le problème de sécurité (indice de gravité de 9,8), qui affecte le composant d’authentification BIG-IP iControl REST.
La société a averti que la vulnérabilité permet à un attaquant non authentifié sur le système BIG-IP d’exécuter « des commandes système arbitraires, de créer ou de supprimer des fichiers ou de désactiver des services ».
À l’heure actuelle, des milliers de systèmes BIG-IP sont exposés sur Internet, de sorte que les attaquants peuvent exploiter l’exploit à distance pour pénétrer dans le réseau de l’entreprise.
Hier, plusieurs chercheurs en sécurité ont annoncé qu’ils avaient créé des exploits fonctionnels et averti les administrateurs d’installer immédiatement les dernières mises à jour.
Aujourd’hui, la bulle a éclaté et les exploits sont devenus accessibles au public puisque les attaques ne nécessitent que deux commandes et quelques en-têtes envoyés à un point de terminaison « bash » non corrigé exposé à Internet.
À l’heure actuelle, Twitter est rempli du code de preuve d’exploitation pour CVE-2022-1388 et signale qu’il est exploité dans la nature pour supprimer les webshells pour un accès prolongé à la porte dérobée.
Activement exploité pour larguer des obus
Le chercheur en sécurité de Cronup, Germán Fernández, a observé des acteurs malveillants déposer des webshells PHP sur « /tmp/f5.sh » et les installer sur « /usr/local/www/xui/common/css/ ».
Après l’installation, la charge utile est exécutée puis supprimée du système :
Des tentatives d’exploitation ont également été constatées par Kevin Beaumont dans des attaques ne ciblant pas l’interface de gestion. Il Remarques que si le système F5 a été configuré « en tant qu’équilibreur de charge et pare-feu via une IP autonome, il est également vulnérable, ce qui peut devenir désordonné ».
D’autres chercheurs, cependant, ont vu CVE-2022-11388 massivement exploité contre l’interface de gestion.
Étonnamment facile à exploiter
La vulnérabilité est si facile à exploiter que certains chercheurs en sécurité pensent qu’elle ne s’est pas retrouvée dans les produits par accident, d’autant plus que le point de terminaison vulnérable s’appelle « bash », un shell Linux populaire.
Jake Williamsdirecteur exécutif du renseignement sur les cybermenaces chez Fauxindique que la faille pourrait être le résultat d’une erreur d’un développeur.
Will Dormananalyste de la vulnérabilité au CERT/CC, partage le même sentiment, craignant qu’autrement cela ne soit un problème beaucoup plus important.
Étant donné que l’exploit est déjà largement partagé publiquement, il est fortement conseillé aux administrateurs d’installer immédiatement les correctifs disponibles, de supprimer l’accès à l’interface de gestion sur l’Internet public ou d’appliquer les mesures d’atténuation fournies par F5 jusqu’à ce que les mises à jour puissent être installées :
L’avis de F5 pour cette vulnérabilité, y compris des informations détaillées sur toutes les mises à jour de sécurité et les atténuations, peut être trouvé ici.