F5, Kimliği Doğrulanmamış Bir Saldırganın Tam Erişim Elde Etmesine İzin Veren Kritik Bir Hata Konusunda Uyardı

Geçenlerde, Bulut güvenliği ve ADN sağlayıcısı F5, şirketin birçok ürününü etkileyen 43 hata içeren yamalar yayınladı. Bu hatalar arasında, kimliği doğrulanmamış bir saldırganın aşağıdaki eylemleri gerçekleştirmesine yol açabilecek kritik bir hata bulunuyor:

• Rastgele sistem komutlarını yürütme
• Dosya eylemleri gerçekleştirme
• BIG-IP'deki hizmetleri devre dışı bırakma

Ele alınan 43 sorun aşağıdaki gibi derecelendirilmiştir:

• Biri Kritik olarak derecelendirildi
• 17 Yüksek olarak derecelendirilmiştir
• 24 Orta olarak derecelendirilmiştir
• Biri Düşük olarak derecelendirildi

Kritik olan CVE-2022-1388'e atanmıştır ve CVSS v3 önem derecesi 9.8'dir. Bu kusur, yetersiz bir kimlik doğrulama kontrolünün bir sonucu olarak ortaya çıkar ve muhtemelen kötü niyetli aktörler tarafından güvenliği ihlal edilmiş bir sistemin kontrolünü ele geçirmek için kullanılabilir.

iControl REST bileşeninde ciddi bir kusurdur. Kötü niyetli bir aktörün, BIG-IP'deki iControl REST kimlik doğrulamasını atlamak ve kontrolü atlatmak için bildirilmemiş istekler göndermesine izin verir.

Etkilenen Ürünler

Aşağıda etkilenen tüm ürünlerden bahsettik:

• BIG-IP sürüm 16.1.0 - 16.1.2
• BIG-IP sürüm 15.1.0 - 15.1.5
• BIG-IP sürüm 14.1.0 ila 14.1.4
• BIG-IP sürüm 13.1.0 - 13.1.4
• BIG-IP sürüm 12.1.0 - 12.1.6
• BIG-IP sürüm 11.6.1 ila 11.6.5

F5'in müşterilerine 17.0.0, 16.1.2.2, 15.1.5.1, 14.1.4.6 ve 13.1.5 sürümlerinde bir düzeltme sunulmuş olsa da. Ancak, düzeltme eki uygulama 12.x ve 11.x dallarına uygulanmaz.

Bunun dışında, danışma belgesinde aşağıdaki hususların CVE-2022-1388'den etkilenmediği açıklanmaktadır:

• BIG-IQ Centralized Management
• F5OS-A
• F5OS-C
• Traffic SDC

Beş Güvenlik Açığı

Dahası, CISA, aktif sömürü kanıtına dayanan beş güvenlik açığının bir listesini yayınladı ve burada aşağıdaki kusurları listeledik:

• CVE-2021-1789 - Apple'da Birden Çok Ürün Türünün Karıştırılması Güvenlik Açığı
• CVE-2019-8506 - Apple'da Birden Çok Ürün Türünün Karıştırılması Güvenlik Açığı
• CVE-2014-4113 – Microsoft Win32k'de Ayrıcalıkta Yükseltme Güvenlik Açığı
• CVE-2014-0322 – Microsoft Internet Explorer'da Serbest Bıraktıktan Sonra Kullanma Güvenlik Açığı
• CVE-2014-0160 – OpenSSL'de Bilginin Açığa Çıkması Güvenlik Açığı

16.000'den Fazla BIG-IP Cihazı Açığa Çıktı

Bu güvenlik açığı, tehdit aktörleri tarafından F5 BIG-IP aygıtlarını kullanan kurumsal ağlara erişmek için kuruluşta kullanılabilir.

Shodan'ın şu anda 16.142 F5 BIG-IP cihazının, yukarıda belirtilen sorguda Warfield tarafından paylaşılan sorguyu kullanarak internete genel olarak maruz kaldığını gösterdiği anlaşılıyor.

Bu nedenle, ağ yöneticilerine bu cihazlara derhal yama yapmaları tavsiye edilmiştir. Sadece bu değil, güvenlik araştırmacıları tarafından güvenlik açığının yerini daraltmak için zaten önemli çabalar sarf edildi.

Çözüm

Çözüm olarak, F5 şu an için bazı geçici çözümler sundu ve işte bunlar:

• Kendi kendine IP adresi üzerinden iControl REST erişimi engellenmelidir.
• iControl REST API'sinden yönetim arabirimine erişimi engelleyin.
• BIG-IP HTTPD'yi gereksinimlerinize göre yapılandırın.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.