Зафиксированы попытки взлома сетей через свежую уязвимость в F5 BIG-IP

Злоумышленники взяли на вооружение недавно раскрытую критическую уязвимость в продуктах семейства BIG-IP производства F5 Networks. По наблюдениям, массовые сканы и попытки эксплойта стали набирать обороты с 18 марта, через неделю после выхода патча.

Согласно бюллетеню F5, причиной появления уязвимости CVE-2021-22986 в BIG-IP (9,8 балла по CVSS) является некорректная реализация iControl REST API. При наличии сетевого доступа к интерфейсу злоумышленник имеет возможность обойти аутентификацию и удаленно выполнить любую команду в системе, отключить сервис по своему выбору, создать или удалить произвольный файл.

Проблема актуальна для всех продуктов BIG-IP с программным обеспечением версий с 12 по 16, а также для BIG-IQ (системы управления приложениями и устройствами BIG-IP) версий 6, 7 и 8. Пробные эксплойты (PoC) для CVE-2021-22986 уже опубликованы в Твиттере и на GitHub; эксперты NCC Group советуют воспринимать все POST-запросы к REST API как подозрительные.

В Palo Alto Networks тоже зафиксировали ряд попыток использования этой бреши — в атаках с одного из ботнетов Mirai. Злоумышленники также применяют эксплойт к CVE-2020-28188, еще одной уязвимости инъекции команд в BIG-IP. Этот баг не столь опасен, как CVE-2021-22986, поскольку его использование требует аутентификации.

Совокупно мартовский набор патчей для BIG-IP устраняет два десятка уязвимостей разной степени опасности, в том числе четыре критических. Пользователям настоятельно рекомендуется обновить продукт в кратчайшие сроки.

Предыдущее обновление для системы безопасности BIG-IP выходило в июле прошлого года. В тот раз F5 пропатчила еще более опасную, 10-балльную уязвимость удаленного исполнения кода (CVE-2020-5902), позволявшую полностью скомпрометировать систему.