La CISA exhorte les organisations à corriger la vulnérabilité F5 BIG-IP activement exploitée


La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajoutée la faille F5 BIG-IP récemment révélée à son Catalogue des vulnérabilités exploitées connues à la suite de rapports d’abus actifs dans la nature.

La faille, affectée de l’identifiant CVE-2022-1388 (score CVSS : 9,8), concerne un bogue critique dans le point de terminaison BIG-IP iControl REST qui fournit à un adversaire non authentifié une méthode pour exécuter des commandes système arbitraires.

« Un attaquant peut utiliser cette vulnérabilité pour faire à peu près tout ce qu’il veut sur le serveur vulnérable », Horizon3.ai mentionné dans un rapport. « Cela inclut la modification de la configuration, le vol d’informations sensibles et le déplacement latéral au sein du réseau cible. »

Des correctifs et des atténuations pour la faille ont été annoncés par F5 le 4 mai, mais il a été soumis pour dans la nature exploitation au cours de la semaine dernière, les attaquants tentant d’installer un shell Web qui accorde un accès par porte dérobée aux systèmes ciblés.

« En raison de la facilité d’exploitation de cette vulnérabilité, du code d’exploitation public et du fait qu’il fournit un accès root, les tentatives d’exploitation sont susceptibles d’augmenter », a déclaré Ron Bowes, chercheur en sécurité chez Rapid7. c’est noté. « L’exploitation généralisée est quelque peu atténuée par la Petit nombre d’appareils F5 BIG-IP connectés à Internet. »

Bien que F5 ait depuis révisé son avis pour y inclure ce qu’il considère comme des indicateurs de compromission « fiables », il a mis en garde qu' »un attaquant qualifié peut supprimer les preuves de compromission, y compris les fichiers journaux, après une exploitation réussie ».

La cyber-sécurité

Pour empirer les choses, preuve possède a émergé que la faille d’exécution de code à distance est utilisée pour effacer complètement les serveurs ciblés dans le cadre d’attaques destructrices afin de les rendre inopérants en émettant un « rm -rf /* » commande qui supprime récursivement tous les fichiers.

« Étant donné que le serveur Web s’exécute en tant que root, cela devrait prendre en charge tout serveur vulnérable et détruire tout appareil BIG-IP vulnérable », a déclaré SANS Internet Storm Center (ISC). mentionné sur Twitter.

À la lumière de l’impact potentiel de cette vulnérabilité, les agences du Pouvoir exécutif civil fédéral (FCEB) ont été mandatées pour corriger tous les systèmes contre le problème d’ici le 31 mai 2022.



ttn-fr-57