F5 BIG-IP ve BIG-IQ cihazlarında, başarılı bir şekilde istismar edildiğinde etkilenen sistemleri tamamen tehlikeye atan birden fazla güvenlik açığı ifşa edilmiştir.
Siber güvenlik firması Rapid7, kusurlar cihazlara uzaktan erişim sağlamak ve güvenlik kısıtlamalarını aşmak için kötüye kullanılabilir. Sorunlar, BIG-IP sürüm 13.x, 14.x, 15.x, 16.x ve 17.x ile BIG-IQ Centralized Management sürüm 7.x ve 8.x’i etkiler.
18 Ağustos 2022’de F5’e bildirilen yüksek önem dereceli iki sorun şu şekildedir:
- CVE-2022-41622 (CVSS puanı: 8.8) – Siteler arası istek sahteciliği (CSRF) iControl SOAP aracılığıyla, kimliği doğrulanmamış uzaktan kod yürütülmesine yol açan güvenlik açığı.
- CVE-2022-41800 (CVSS puanı: 8.7) – Yönetici rolüne sahip kimliği doğrulanmış bir kullanıcının atlamasına izin verebilecek bir iControl REST güvenlik açığı Cihaz modu kısıtlamalar.
Rapid7 araştırmacısı Ron Bowes, “En kötü güvenlik açıklarından (CVE-2022-41622) başarıyla yararlanan bir saldırgan, cihazın yönetim arabirimine kalıcı kök erişimi sağlayabilir (yönetim arabirimi internete dönük olmasa bile),” söz konusu.
Bununla birlikte, böyle bir istismarın, etkin bir oturuma sahip bir yöneticinin düşmanca bir web sitesini ziyaret etmesini gerektirdiğini belirtmekte fayda var.
Ayrıca tespit edilenler üç farklı örnek F5’in daha önce belgelenmemiş bir mekanizma aracılığıyla mevcut güvenlik engellerini aşmadan yararlanılamayacağını söylediği güvenlik bypass’ı.
Böyle bir senaryo ortaya çıkarsa, Advanced Shell (darbe) araca erişim, keyfi sistem komutlarını yürütmek, dosya oluşturmak veya silmek veya hizmetleri devre dışı bırakmak için bu zayıflıkları silah haline getirebilir.
F5, saldırılarda istismar edilen güvenlik açıklarından bahsetmese de, kullanıcıların potansiyel riskleri azaltmak için gerekli yamaları kullanıma sunuldukları anda uygulamaları önerilir.