應用交付解決方案供應商 F5 旗下 BIG-IP 系統的 iControl REST 管理介面發現重大安全漏洞,駭客可透過根系統權限,遠端執行任意系統指令,完全控制 BIG-IP 網路設備,安全嚴重性等級達史無前例的 9.8(滿分 10)。由於全球最大及最敏感網路莫不採用 BIG-IP 設備存取控制、負載平衡、應用安全防護及流量管理、檢測與加密等作業,影響層面之廣,同時引發安全研究人員與駭客關注。
線上發現超過 16,000 個 BIG-IP 設備的攻擊實例,且普遍被 48 家「財富 50 大」(Fortune 50)企業採用,可見漏洞影響層面有多大。由於 BIG-IP 鄰近網路邊緣,並扮演管理 Web 伺服器流量的功能性角色,所以這些設備能看見 HTTP 保護封包的解密內容,一旦駭客完全控制這些設備,後果不堪設想。
這安全威脅主要源自 iControl REST 的錯誤身分驗證執行。iControl REST 是一組 Web-based 程式介面,可執行 BIG-IP 設備組態配置與管理。由於漏洞讓未經身分驗證的攻擊者取得根系統最高權限,可如管理人員存取 iControl REST 管理介面,並與所有 BIG-IP 應用程式提供的所有端點設備互動,包括執行任意指令、建立或刪除檔案,甚至關閉服務。
最誇張的是,有人在 Twitter 分享安全漏洞(漏洞編號:CVE-2022-1388)的概念驗證攻擊碼擷圖,詳述駭客如何利用 iControl REST 漏洞存取名為 bash 的 F5 應用程式端點。雖然截圖顯示攻擊碼會提供密碼以便執行指令,但即使沒有密碼,駭客也能執行根權限指令。
F5 已在 4 日發現並修補漏洞,但又有研究人員在 Twitter 指出,網路開始流傳可植入 Webshell 後門程式以持續控管被駭 BIG-IP 設備的攻擊碼。可怕的是,即使被駭設備更新修補,駭客依舊能透過這攻擊碼控制。
不論如何,任何採用 BIG-IP 設備的企業都應優先調查、修補或風險緩解措施。攻擊面管理方案商 Randori 官網提供漏洞詳細分析,另有一行 BIG-IP 用戶可檢查自身被攻擊風險高低的 Bash 腳本程式。此外,BIG-IP 用戶也可參考 F5 官網安全公告與安全指導方針。
(首圖來源:F5)
科技新報粉絲團
加入好友
訂閱免費電子報
