พบช่องโหว่ใหม่บน BIG-IP Next Central Manager ที่ทำให้สามารถเข้าควบคุมเครื่องได้

F5 ได้แก้ไขช่องโหว่ใน BIG-IP Next Central Manager ที่มีระดับความรุนแรงสูง 2 รายการ ที่สามารถนำไปใช้เพื่อยกระดับสิทธิ์เป็นดูแลระบบ ทำให้สามารถควบคุม และสร้างบัญชีปลอม รวมถึงซ่อนบัญชีดังกล่าวในระบบได้

Next Central Manager เป็นเครื่องมือที่ช่วยให้ผู้ดูแลระบบสามารถจัดการ BIG-IP Next instances and services ภายในองค์กร หรือบนคลาวด์ผ่าน management user interface

ช่องโหว่บน management user interface ดังกล่าวมีหมายเลข CVE-2024-26026 (คะแนน CVSS 7.5/10 ความรุนแรงระดับ High) และช่องโหว่ OData injection หมายเลข CVE-2024-21793 (คะแนน CVSS 7.5/10 ความรุนแรงระดับ High) ที่พบใน BIG-IP Next Central Manager API ทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถเรียกใช้คำสั่ง SQL ที่เป็นอันตรายบนอุปกรณ์ที่มีช่องโหว่จากระยะไกลได้ โดยส่งผลกระทบต่อ BIG-IP Next Central Manager เวอร์ชัน 20.0.1 - 20.1.0

การโจมตีในลักษณะ SQL injection คือการ inject คำสั่ง SQL ที่เป็นอันตรายลงในช่องป้อนข้อมูล หรือพารามิเตอร์ในการสืบค้นฐานข้อมูล โดยการโจมตีไปยังช่องโหว่ของแอปพลิเคชันที่อนุญาตให้เรียกใช้คำสั่ง SQL ได้โดยไม่ได้ตั้งใจ ส่งผลให้เกิดการเข้าถึงโดยไม่ได้รับอนุญาต การขโมยข้อมูล และการเข้าควบคุมระบบ

โดย Eclypsium บริษัทรักษาความปลอดภัยด้าน Supply chain security เป็นผู้รายงานช่องโหว่ และเผยแพร่ชุดสาธิตการโจมตี (PoC) เนื่องจากพบบัญชีปลอมที่ถูกสร้างขึ้นหลังจากการโจมตีผ่านช่องโหว่ดังกล่าว ซึ่งจะไม่สามารถเห็นได้จาก Next Central Manager ทำให้ผู้โจมตีสามารถแฝงตัวอยู่ในระบบของเหยื่อได้

รวมถึง management console ของ Central Manager ที่มีช่องโหว่ CVE-2024-26026 และ CVE-2024-2179 ทำให้ Hacker สามารถเข้าถึง administrative UI ซึ่งจะทำให้สามารถเข้าควบคุมเครื่องได้

F5 แนะนำให้ผู้ดูแลระบบทำการอัปเดตไปเป็น BIG-IP Next Central Manager เวอร์ชัน 20.2.0 เพื่อแก้ไขช่องโหว่

การโจมตีโดยใช้ PoC และการลดผลกระทบชั่วคราว

ตามคำแนะนำของ F5 ผู้ดูแลระบบที่ยังไม่สามารถทำการอัปเดตความปลอดภัยได้ทันที ควรจำกัดการเข้าถึง Next Central Manager ให้สามารถเข้าถึงได้เฉพาะผู้ใช้ที่เชื่อถือได้ผ่านเครือข่ายที่ปลอดภัย เพื่อลดความเสี่ยงจากการโจมตี

ทั้งนี้ตามข้อมูลของ Eclypsium ยังไม่พบหลักฐานการโจมตีช่องโหว่ดังกล่าว แต่ปัจจุบันทาง Shodan ได้พบว่ามีอุปกรณ์ F5 BIG-IP มากกว่า 10,000 เครื่องที่มี management ports เปิดให้เข้าถึงได้บนอินเทอร์เน็ต

ในเดือนพฤศจิกายน 2023 ทาง F5 ได้แจ้งเตือนเตือนลูกค้าว่าได้พบ Hacker กำลังใช้ช่องโหว่ระดับ Critical ของ BIG-IP 2 รายการ (CVE-2023-46747 และ CVE-2023-46748) ซึ่งได้รับการแก้ไขไปแล้ว ก่อนที่จะพบการพยายามโจมตีเพื่อเข้าถึงอุปกรณ์ที่มีช่องโหว่ เพื่อเรียกใช้คำสั่งที่เป็นอันตราย และลบร่องรอยการโจมตี

เมื่อสองปีที่แล้ว CISA ได้แจ้งเตือนการโจมตีช่องโหว่ F5 BIG-IP (CVE-2022-1388) จำนวนมาก ที่ทำให้ผุ้โจมตีสามารถเข้าควบคุมอุปกรณ์ได้ ซึ่ง CISA ได้ทำการแจ้งเตือนไปยังเครือข่ายภาครัฐ และเอกชน และให้คำแนะนำเพื่อป้องกันการโจมตีช่องโหว่ดังกล่าว

ที่มา : Bleepingcomputer, CVE-2024-26026, CVE-2024-21793

มัลแวร์ตัวใหม่ Zerobot มีเครื่องมือใช้โจมตีช่องโหว่กว่า 21 รายการบนอุปกรณ์ BIG-IP, Zyxel และ D-Link

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Fortinet พบมัลแวร์ตัวใหม่ "Zerobot" มีการโจมตีโดยใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ต่างๆ เช่น F5 BIG-IP, Zysel Firewall, Totolink, D-Link และ Hikvision

โดยจุดประสงค์ของมัลแวร์คือการเข้ายึดครองอุปกรณ์ที่ถูกโจมตี เพื่อนำมาใช้เป็น botnet สำหรับใช้ในการโจมตีแบบ Denial of Service (DDoS) โดยเมื่อมัลแวร์ทำงานจะมีการดาวน์โหลดสคริปต์ที่ชื่อว่า Zero เพื่อใช้ในการแพร่กระจายไปยังอุปกรณ์ที่อยู่ใกล้เคียงกัน และมีการรันคำสั่งบน Windows หรือ Linux ด้วย รวมถึงมีการติดตั้ง WebSocket เพื่อใช้เชื่อมต่อกับ command and control (C2) server โดยคำสั่งที่ผู้เชี่ยวชาญพบคือ Ping, attack, stop, update, scan, command และ kill นอกจากนี้มัลแวร์ยังถูกออกแบบมาเพื่อป้องกันการถูกสั่ง kill ตัวเองอีกด้วย

Zerobot จะโจมตีเป้าหมายโดยใช้ช่องโหว่ดังต่อไปนี้:

CVE-2014-08361: miniigd SOAP service in Realtek SDK
CVE-2017-17106: Zivif PR115-204-P-RS webcams
CVE-2017-17215: Huawei HG523 router
CVE-2018-12613: phpMyAdmin
CVE-2020-10987: Tenda AC15 AC1900 router
CVE-2020-25506: D-Link DNS-320 NAS
CVE-2021-35395: Realtek Jungle SDK
CVE-2021-36260: Hikvision product
CVE-2021-46422: Telesquare SDT-CW3B1 router
CVE-2022-01388: F5 BIG-IP
CVE-2022-22965: Spring MVC and Spring WebFlux (Spring4Shell)
CVE-2022-25075: TOTOLink A3000RU router
CVE-2022-26186: TOTOLink N600R router
CVE-2022-26210: TOTOLink A830R router
CVE-2022-30525: Zyxel USG Flex 100(W) firewall
CVE-2022-34538: MEGApix IP cameras
CVE-2022-37061: FLIX AX8 thermal sensor cameras

 

ที่มา : bleepingcomputer

F5 ประกาศช่องโหว่ร้ายแรง 4 รายการ ใน BIG-IP และ BIG-IQ ผู้ดูแลระบบควรทำการอัปเดตโดยด่วน

F5 Networks ผู้ให้บริการอุปกรณ์เครือข่ายระดับองค์กรชั้นนำได้ประกาศถึงการพบช่องโหว่ร้ายแรง ที่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้จากระยะไกล (Remote Code Execution - RCE) จำนวน 4 รายการที่ส่งผลกระทบต่อซอฟต์แวร์ BIG-IP และ BIG-IQ โดยรายละเอียดช่องโหว่ทั้ง 4 รายการมีดังนี้

ช่องโหว่ CVE-2021-22986 (CVSS 9.8/10) เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ช่วยให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันคำสั่งได้ในส่วน iControl REST interface
ช่องโหว่ CVE-2021-22987 (CVSS 9.9/10) เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกล ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันคำสั่งในโหมด Appliance Traffic Management User Interface (TMUI) หรือที่เรียกว่ายูทิลิตี้ Configuration ได้
ช่องโหว่ CVE-2021-22991 (CVSS 9.0 / 10) เป็นช่องโหว่ Buffer-overflow ที่เกิดจากการจัดการของ Traffic Management Microkernel (TMM) URI normalization ซึ่งอาจทำให้เกิด Buffer Overflow จนนำไปสู่การโจมตี Denial-of-service (DoS)
ช่องโหว่ CVE-2021-22992 (CVSS 9.0 / 10) เป็นช่องโหว่ Buffer overflow ที่เกิดขึ้นใน Advanced WAF/BIG-IP ASM โดยผู้โจมตีสามารถทำการส่ง HTTP Response ไปยัง Login Page ซึ่งอาจทำให้เกิด Buffer overflow จนนำไปสู่การโจมตี Denial-of-service (DoS) หรือในบางกรณีอาจทำให้ผู้โจมตีสามารถรันโค้ดได้จากระยะไกล

นอกจากนี้ F5 ยังได้ประกาศแพตช์เพื่อเเก้ไขช่องโหว่อีก 3 รายการโดย 2 รายการมีความรุนแรง High และ Medium ตามลำดับและมีระดับความรุนเเรง CVSS ที่อยู่ 6.6 - 8.8/10 ซึ่งช่องโหว่จะส่งผลให้ผู้โจมตีที่ผ่านการพิสูจน์ตัวตนแล้วสามารถรันโค้ดได้จากระยะไกล

เพื่อเป็นแนวทางการป้องกันการใช้ประโยชน์จากช่องโหว่ใน BIG-IP ผู้ดูแลระบบควรทำการอัปเดตเวอร์ชันเป็น 6.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 และ 11.6.5.3 สำหรับในส่วน BIG-IQ ซึ่งจะได้รับผลกระทบจากช่องโหว่ CVE-2021-22986 ผู้ดูแลระบบสามารถทำการอัปเดตเวอร์ชันเป็น 8.0.0, 7.1.0.3 และ 7.0.0.2

ที่มา: bleepingcomputer

แจ้งเตือนช่องโหว่ระดับวิกฤติใน F5 BIG-IP รันโค้ดอันตรายจากระยะไกล

F5 Networks ซึ่งเป็นหนึ่งในผู้ให้บริการเครือข่ายระดับองค์กรที่ใหญ่ที่สุดในโลกได้เผยแพร่คำแนะนำด้านความปลอดภัยเพื่อเตือนลูกค้าให้ทำการอัพเดตเเพตซ์แก้ไขข้อบกพร่องด้านความปลอดภัยที่เป็นอันตรายซึ่งมีแนวโน้มว่าจะถูกนำไปใช้ประโยชน์ เพื่อโจมตีองค์กรต่างๆ โดยช่องโหว่ดังกล่าวถูกติดตามด้วยรหัส CVE-2020-5902 ช่องโหว่ที่เกิดขึ้นนั้นส่งผลกระทบต่อผลิตภัณฑ์ BIG-IP ซึ่งอยู่ในอุปกรณ์เน็ตเวิร์คเช่น Web Traffic Shaping Systems, Load balance, Firewall, Access Gateway ตลอดจนไปถึง SSL Middleware เป็นต้น

ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัทไอ-ซีเคียว จำกัด จะมาติดตามรายละเอียดของช่องโหว่นี้ พร้อมทั้งอธิบายที่มาการตรวจจับและการป้องกันการโจมตีช่องโหว่นี้ โดยในบล็อกนี้นั้นเราจะทำการติดตามและอัปเดตข้อมูลรายวันเพื่อให้ผู้ใช้บริการได้รับข้อมูลที่ทันสมัยที่สุด

รายละเอียดช่องโหว่โดยย่อ

รายละเอียดของช่องโหว่เชิงเทคนิค

การโจมตีช่องโหว่

ระบบที่ได้รับผลกระทบ

การตรวจจับและป้องกันการโจมตี

Root Cause ของช่องโหว่

การบรรเทาผลกระทบ

อ้างอิง

รายละเอียดช่องโหว่โดยย่อ
ช่องโหว่ CVE-2020-5902 เป็นช่องโหว่ Remote Code Execution (RCE) ที่เกิดขึ้นจากข้อผิดพลาดใน BIG-IP Management Interface หรือที่เรียกว่า TMUI (Traffic Management User Interface) โดยช่องโหว่นี้ถูกประเมินด้วยคะแนน CVSSv3 แบบ Base Score อยู่ที่ 10/10 ซึ่งถือว่าเป็นช่องโหว่ที่มีความรุนเเรงและอัตรายอย่างมาก

ผู้ประสงค์ร้ายสามารถใช้ประโยน์จากช่องโหว่นี้ผ่านทางอินเตอร์เน็ตเพื่อเข้าถึง TMUI Component ซึ่งทำงานบน Tomcat เซิร์ฟเวอร์บนระบบปฏิบัติการ Linux ของ BIG-IP ซึ่งช่องโหว่นี้ทำให้ผู้บุกรุกสามารถรันคำสั่งบนระบบได้ โดยการรันคำสั่งสามารถสร้างหรือลบไฟล์, Disable Service และยังสามารถรันคำสั่งโค้ด Java บนอุปกรณ์ที่ใช้ BIG-IP ได้

ช่องโหว่นี้ถูกค้นพบและรายงานโดย Mikhail Klyuchnikov นักวิจัยด้านความปลอดภัยจาก Positive Technologies นักวิจัยได้ทำการค้นหาอุปกรณ์ BIG-IP ที่สามารถเข้าได้ผ่านอินเตอร์เน็ต โดยการใช้ Shodan Search พบว่ายังมีอุปกรณ์ BIG-IP ประมาณ 8,400 ที่สามารถเข้าได้ผ่านอินเตอร์เน็ตซึ่ง 40% อยู่ในประเทศสหรัฐอเมริกา

รูปที่ 1 จำนวนอุปกรณ์ BIG-IP ที่สามารถเข้าได้ผ่านอินเตอร์เน็ต

รายละเอียดของช่องโหว่เชิงเทคนิค
ช่องโหว่ CVE-2020-5902 เป็นช่องโหว่ Directory Traversal ใน /tmui/locallb/workspace/tmshCmd.