image

Kritiek lek in F5 BIG-IP actief gebruikt om filesystem apparaten te wissen

woensdag 11 mei 2022, 11:12 door Redactie, 2 reacties

Een kritieke kwetsbaarheid in het BIG-IP-platform van F5 wordt actief gebruikt om het filesystem van de apparaten te wissen wat gevolgen heeft voor load balancing en websites. Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery.

Op 4 mei kwam F5 met een beveiligingsupdate voor een kritieke kwetsbaarheid aangeduid als CVE-2022-1388. Via het beveiligingslek kan een ongeauthenticeerde aanvaller met toegang tot een BIG-IP het systeem overnemen of uitschakelen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

"De kwetsbaarheid is noemenswaardig, omdat het ongeauthenticeerde aanvallers willekeurige systeemcommando's laat uitvoeren, bestanden laat aanmaken of verwijderen of services laat uitschakelen. In andere woorden, de aanvaller krijgt volledige controle over het apparaat", aldus Johannes Ullrich van het Internet Storm Center.

Kort na het uitkomen van de beveiligingsupdate verschenen op internet proof-of-concept exploits en werd melding gemaakt van actief misbruik. Aanvallers gebruiken de kwetsbaarheid om webshells te installeren om zo toegang tot het apparaat te behouden en verdere aanvallen uit te voeren. Het Internet Storm Center (ISC) laat nu via Twitter weten dat een aanvaller actief bezig is om het filesystem van kwetsbare systemen te wissen.

"Gegeven dat de webserver als root draait, lost dit het probleem van kwetsbare servers op en vernietigt elke kwetsbare BIG-IP-appliance", aldus het ISC. Beveiligingsonderzoeker Kevin Beaumont bevestigt de aanvallen en meldt dat veel kwetsbare apparaten die via zoekmachine Shodan waren te vinden nu niet meer reageren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale Amerikaanse overheidsinstanties gisteren verplicht om het beveiligingslek voor 31 mei te patchen.

Image

Reacties (2)
12-05-2022, 12:34 door Anoniem
Tis toch 2022? Waarom draait iemand nog een webserver als root? Zeker een omgeving als F5
12-05-2022, 22:50 door Anoniem
Door Anoniem: Tis toch 2022? Waarom draait iemand nog een webserver als root? Zeker een omgeving als F5

Omdat je op port 80 en 443 wilt kunnen luisteren. Erg netjes is het natuurlijk niet. Ook bizar dat het F5 proces blijkbaar toegang heeft tot alles, zou iets als SELinux in dit geval de impact hebben beperkt?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.