Kritischer F5 BIG-IP Bug wird aktiv angegriffen, nachdem PoC Exploit online gestellt wurde

Cyber Security News

Fast 10 Tage, nachdem das Application Security-Unternehmen F5 Networks Patches für kritische Schwachstellen in seinen BIG-IP- und BIG-IQ-Produkten veröffentlicht hat, haben Angreifer damit begonnen, opportunistisch massenhaft Scans durchzuführen und ungeschützte und ungepatchte Netzwerkgeräte ins Visier zu nehmen, um in Unternehmensnetzwerke einzubrechen.

Die Nachricht über die Entwicklung von Exploits in freier Wildbahn folgt auf einen Proof-of-Concept-Exploit-Code, der Anfang dieser Woche online aufgetaucht ist, indem der Java-Software-Patch in BIG-IP zurückentwickelt wurde. Die Massenscans sollen seit dem 18. März in die Höhe geschnellt sein.

Die Schwachstellen betreffen die BIG-IP-Versionen 11.6 oder 12.x und neuer, wobei eine kritische Remote-Code-Ausführung (CVE-2021-22986) auch die BIG-IQ-Versionen 6.x und 7.x betrifft. CVE-2021-22986 (CVSS-Score: 9.8) ist insofern bemerkenswert, als es sich um eine nicht authentifizierte Remote-Befehlsausführungsschwachstelle handelt, die die iControl REST-Schnittstelle betrifft und es einem Angreifer ermöglicht, beliebige Systembefehle auszuführen, Dateien zu erstellen oder zu löschen und Dienste zu deaktivieren, ohne dass eine Authentifizierung erforderlich ist.

Eine erfolgreiche Ausnutzung dieser Schwachstellen könnte zu einer vollständigen Kompromittierung anfälliger Systeme führen, einschließlich der Möglichkeit der Remotecodeausführung sowie der Auslösung eines Pufferüberlaufs, was zu einem Denial-of-Service-Angriff (DoS) führt.

[Blocked Image: https://thehackernews.com/images/-pOsO0M730cQ/YFYcww7f-PI/AAAAAAAA3s0/S9EnJJEwsiUZnY7kt2AC-WtKguHTDCbXwCLcBGAsYHQ/s0/hacking-code.jpg]

Während F5 am 10. März erklärte, dass ihm keine öffentliche Ausnutzung dieser Schwachstellen bekannt sei, gaben Forscher der NCC Group an, dass sie nun im Zuge mehrerer Ausnutzungsversuche gegen seine Honeypot-Infrastruktur Beweise für eine “vollständige Ausnutzung der F5 BIG-IP/BIG-IQ iControl REST API-Schwachstellen CVE-2021-22986” gefunden hätten.

Darüber hinaus gab das Bedrohungsanalyse-Team Unit 42 von Palo Alto Networks an, dass es Versuche gefunden hat, CVE-2021-22986 auszunutzen, um eine Variante des Mirai-Botnetzes zu installieren. Aber es ist nicht sofort klar, ob diese Angriffe erfolgreich waren.

Angesichts der Beliebtheit von BIG-IP/BIG-IQ in Unternehmens- und Regierungsnetzwerken sollte es nicht überraschen, dass dies das zweite Mal innerhalb eines Jahres ist, dass F5-Appliances zu einem lukrativen Ziel für Angriffe geworden sind.

Im vergangenen Juli hat das Unternehmen eine ähnliche kritische Schwachstelle (CVE-2020-5902) behoben, woraufhin diese von iranischen und chinesischen staatlich gesponserten Hackergruppen missbraucht wurde, was die U.S. Cybersecurity and Infrastructure Security Agency (CISA) dazu veranlasste, eine Warnung herauszugeben, in der sie vor einer “breit angelegten Scanning-Aktivität für das Vorhandensein dieser Schwachstelle in Bundesministerien und -behörden” warnte.

“Die Quintessenz ist, dass [the flaws] alle BIG-IP- und BIG-IQ-Kunden und -Instanzen betrifft – wir bitten alle Kunden dringend, ihre BIG-IP- und BIG-IQ-Implementierungen so schnell wie möglich auf die korrigierten Versionen zu aktualisieren”, erklärte Kara Sprague, Senior Vice President von F5, letzte Woche.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com