Categoria: Inteligência de vulnerabilidadeClasse de vulnerabilidade: Execução remota de códigoID DA CAVERNA: CVE-2022-1388CVSS: 3.0 Pontuação: 9,8

Sumário executivo

• CloudSEKA Divisão de Pesquisa de Ameaças e Análise de Informações (TRIAD) conduziu uma investigação para verificar a gravidade da vulnerabilidade recém-identificada CVE-2022-1388 presente no F5 BIG-IP.
• A F5, Inc. é uma empresa americana de tecnologia especializada em segurança de aplicativos, gerenciamento de várias nuvens, prevenção de fraudes on-line, rede de entrega de aplicativos, disponibilidade e desempenho de aplicativos, segurança de rede e acesso e autorização.
• A vulnerabilidade foi identificada internamente pelo F5 e um patch foi lançado, mas a diferença no código permitiu que os agentes da ameaça fizessem uma exploração funcional para o CVE.
• Os invasores podem explorar a vulnerabilidade para obter uma posição inicial na infraestrutura e, posteriormente, obter Execução Remota de Código (RCE) não autenticada e talvez reverter o acesso ao shell do atacante. Os agentes de ameaças já iniciaram a verificação dessa vulnerabilidade em números significativos.

[caption id="attachment_19335" align="alignnone” width="694"] Imagem representando o fluxo de trabalho do CVE-2022-1388 [/caption]

Análise

• O CVE-2022-1388 é uma vulnerabilidade RCE que ocorre devido à falta de autenticação em endpoints críticos.
• A vulnerabilidade tem uma exploração muito simples, usando a qual um invasor pode visualizar/excluir arquivos, alterar a configuração do sistema, executar comandos remotos etc.
• A tabela abaixo contém uma lista das versões afetadas junto com seus equivalentes corrigidos.

FilialVersões afetadasVersões fixas17.xNone17.0.016.x16.1.0 - 16,1216.1.2215.x15.1.0 - 15,1515.1.5.114,0 - 14,1414.1,0 - 14,1414.1.4.613.x13.1.0 - 13,1413,1512.x12.1.0 - 12,16EOL - Nenhuma correção disponível 11,1x11,6,1 - 11,6,5EOL - Nenhuma correção disponível

A façanha

• Conforme ilustrado na imagem abaixo, um invasor pode fazer uma solicitação para um endpoint vulnerável /mgmt/tm/util/bash usando um comando e os resultados serão revelados.
• Isso acontece porque um endpoint crítico, como /mgmt/tm/util/bash, não está autenticado.

[caption id="attachment_19336" align="alignnone” width="1625"] Imagem representando o POC de exploração em que o comando 'cat' pode ser substituído por outras cargas maliciosas [/caption]

CVE-2021-22986

• O F5 Big IP iControl REST já encontrou uma configuração incorreta de autenticação no endpoint exato denominado CVE-2021-22986.
• A diferença entre as duas vulnerabilidades é que na anterior, a 'Token de autenticação X-F5'foi deixado em branco, enquanto que, no recente, o'Conexão'o cabeçalho está definido como'Token de autenticação X-F5'.

Informações da OSINT

• O número de servidores potencialmente vulneráveis pode nos ajudar a entender o impacto dessa vulnerabilidade. Uma pesquisa do Censys revela que 2.902 sistemas ativos são considerados vulneráveis a esse CVE.

[caption id="attachment_19337" align="alignnone” width="1122"] Uma pesquisa do Censys descrevendo possíveis 2.902 sistemas vulneráveis. [/legenda]

• Existem vários scripts de POC disponíveis para o público para considerar e utilizar em várias plataformas de código aberto.
• Os agentes de ameaças começaram a publicar explorações e discutir essa vulnerabilidade em vários fóruns de crimes cibernéticos e canais do Telegram. (Para obter mais informações, consulte o Apêndice)

Impacto e mitigação

ImpactoMitigação

• A vulnerabilidade pode levar à execução remota de código não autenticado.
• Um invasor pode usar isso para obter uma posição inicial na infraestrutura de uma organização e explorar ainda mais a infraestrutura.
• Essa vulnerabilidade pode ser usada por grupos e operadores de ransomware para obter benefícios monetários.
• Isso pode ser usado indevidamente por atores do estado-nação para exfiltrar inteligência e dados confidenciais, causando perda de confiança das partes interessadas.

• Atualize imediatamente para as versões corrigidas, conforme mencionado acima.
• Se o patch não for viável, siga as soluções alternativas mencionadas aqui, Isso restringirá o acesso REST do iControl somente a endereços IP confiáveis.

Referências

• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol
• https://support.f5.com/csp/article/K23605346
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1388
• https://www.helpnetsecurity.com/2022/05/09/cve-2022-1388-poc-exploitation/
• https://isc.sans.edu/forums/diary/F5+BIGIP+Unauthenticated+RCE+Vulnerability+CVE20221388/28624/

Apêndice

[caption id="attachment_19338" align="alignnone” width="1335"] Imagens mostrando agentes de ameaças discutindo e compartilhando a vulnerabilidade [/caption] [caption id="attachment_19339" align="alignnone” width="584"] Imagens mostrando agentes de ameaças discutindo e compartilhando a vulnerabilidade [/caption]