Een kritieke kwetsbaarheid in het BIG-IP-platform van F5 wordt actief gebruikt om het filesystem van de apparaten te wissen wat gevolgen heeft voor load balancing en websites. Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery.

Op 4 mei kwam F5 met een beveiligingsupdate voor een kritieke kwetsbaarheid aangeduid als CVE-2022-1388. Via het beveiligingslek kan een ongeauthenticeerde aanvaller met toegang tot een BIG-IP het systeem overnemen of uitschakelen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

"De kwetsbaarheid is noemenswaardig, omdat het ongeauthenticeerde aanvallers willekeurige systeemcommando's laat uitvoeren, bestanden laat aanmaken of verwijderen of services laat uitschakelen. In andere woorden, de aanvaller krijgt volledige controle over het apparaat", aldus Johannes Ullrich van het Internet Storm Center.

Kort na het uitkomen van de beveiligingsupdate verschenen op internet proof-of-concept exploits en werd melding gemaakt van actief misbruik. Aanvallers gebruiken de kwetsbaarheid om webshells te installeren om zo toegang tot het apparaat te behouden en verdere aanvallen uit te voeren. Het Internet Storm Center (ISC) laat nu via Twitter weten dat een aanvaller actief bezig is om het filesystem van kwetsbare systemen te wissen.

"Gegeven dat de webserver als root draait, lost dit het probleem van kwetsbare servers op en vernietigt elke kwetsbare BIG-IP-appliance", aldus het ISC. Beveiligingsonderzoeker Kevin Beaumont bevestigt de aanvallen en meldt dat veel kwetsbare apparaten die via zoekmachine Shodan waren te vinden nu niet meer reageren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft federale Amerikaanse overheidsinstanties gisteren verplicht om het beveiligingslek voor 31 mei te patchen.