專門打造應用層服務及應用交付網路的美國業者F5在5月4日修補其BIG-IP系統上的一個重大安全漏洞CVE-2022-1388,此一漏洞允許未經授權的駭客存取BIG-IP系統並執行任意命令,沒幾天滲透測試業者Horizon 3 AI與漏洞評估業者Positive Technologies就打造出了概念性驗證攻擊程式,同時呼籲使用者應立即修補。

F5的BIG-IP產品家族集結了硬體、模組化軟體,以及執行 F5 TMOS自製作業系統的虛擬設備,涵蓋BIG-IP本地流量管理、BIG-IP DNS、BIG-IP防火牆管理、BIG-IP存取政策管理、容器入口服務,以及用來管理BIG-IP裝置及應用程式服務的BIG-IQ框架。

CVE-2022-1388漏洞存在於BIG-IP所有模組所使用的iControl REST元件中,該元件允許使用者或腳本程式與F5裝置執行輕量且快速的互動,從執行命令列到完成之間的任何操作都可利用iControl REST進行程式化,然而,此一漏洞卻可繞過iControl REST的身分認證程序。

圖片來源/F5

因此,駭客將可藉由此一漏洞存取BIG-IP系統,並執行任意的系統命令,涵蓋建立檔案、刪除檔案,或是關閉服務等,它僅涉及控制層,並未危及資料層。

Positive Technologies在7日便宣布已成功重製CVE-2022-1388漏洞,Horizon 3 AI同一天則說已打造出該漏洞的概念性驗證程式,而且計畫在本周釋出,讓各組織有時間修補。

資安專家呼籲BIG-IP用戶應立即修補該漏洞,若無法即時修補,至少也要限制存取iControl REST的權限,僅允許可靠網路或裝置存取,以減少其攻擊表面。


熱門新聞

Advertisement