ช่องโหว่บน F5 BIG-IP ที่ถูกเปิดเผยออกมาเมื่อเร็วๆ นี้ เริ่มถูกนำมาใช้ในการโจมตีโดยการพยายามลบ file system บนเครื่อง BIG-IP ของเหยื่อ เพื่อทำให้ระบบไม่สามารถเข้าใช้งานได้

เมื่อสัปดาห์ที่แล้ว F5 เปิดเผยช่องโหว่หมายเลข CVE-2022-1388 ซึ่งทำให้ผู้โจมตีสามารถสั่งรันคำสั่งบนอุปกรณ์ BIG-IP ด้วยสิทธิ์ 'root' โดยไม่ต้องมีการตรวจสอบสิทธิ์ เนื่องจากระดับความอันตรายของช่องโหว่ดังกล่าว F5 แนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์โดยเร็วที่สุด

ไม่กี่วันต่อมานักวิจัยปล่อย exploits ที่ใช้สำหรับทดสอบการโจมตีออกสู่สาธารณะทั้งทาง Twitter และ GitHub ซึ่งทำให้ผู้โจมตีทั่วไปสามารถนำมาปรับใช้ในการโจมตีได้

แม้ว่าการโจมตีส่วนใหญ่จะใช้เพื่อ drop webshells เพื่อใช้ในการเข้าถึงเครือข่ายในเบื้องต้น, ขโมยคีย์ SSH และระบุข้อมูลบนระบบ แต่ล่าสุดทาง SANS Internet Storm Center พบว่ามีการโจมตีสองครั้งที่โจมตีอุปกรณ์ BIG-IP ในลักษณะที่ร้ายแรงกว่ามาก

SANS กล่าวว่า honeypots ของพวกเขาพบการโจมตีสองครั้งที่มาจาก IP 177.54.127[.]111 ที่มีการสั่งรันคำสั่ง 'rm -rf /' บนอุปกรณ์ BIG-IP ของเป้าหมาย ซึ่งคำสั่งนี้เป็นความพยายามจะลบไฟล์ทั้งหมดบนระบบ Linux ของอุปกรณ์ BIG-IP เนื่องจากช่องโหว่ดังกล่าวทำให้ผู้โจมตีมีสิทธิ์ root ในระบบปฏิบัติการ Linux คำสั่ง rm -rf / จึงสามารถลบไฟล์ได้เกือบทุกไฟล์ รวมถึงไฟล์ configuration ที่จำเป็นสำหรับอุปกรณ์

การโจมตีรูปแบบนี้อาจยังพบไม่มากนัก เพราะผู้โจมตีส่วนใหญ่ต้องการเข้าควบคุมอุปกรณ์มากกว่าสร้างความเสียหาย

บริษัทข่าวกรองด้านภัยคุกคามความปลอดภัยทางไซเบอร์ Bad Packets และ GreyNoise กล่าวว่าพวกเขาไม่พบการโจมตีในลักษณะดังกล่าวบน honeypots ของพวกเขา

Kimber นักวิจัยของ GreyNoise กล่าวว่าส่วนใหญ่พฤติกรรมที่เห็นจะเป็นการ drop webshells, exfiltrate configs หรือเรียกใช้คำสั่งเพื่อสร้างบัญชีผู้ดูแลระบบบนอุปกรณ์ ซึ่งการโจมตีที่เกิดขึ้นทำให้ผู้ดูแลระบบจำเป็นต้องอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุด และไม่เปิดให้เข้าถึงหน้า management ของ BIG-IP จากภายนอก

ที่มา : bleepingcomputer.

นักวิจัยด้านความปลอดภัยแจ้งเตือนผู้ดูแลระบบ F5 BIG-IP ให้รีบติดตั้งแพตซ์อัปเดตด้านความปลอดภัยล่าสุดทันที หลังจากพบว่ามีการสร้าง Exploits ที่ใช้สำหรับการโจมตีช่องโหว่ Remote code execution (CVE-2022-1388) เรียบร้อยแล้ว

เมื่อสัปดาห์ที่ผ่านมา F5 ออกมาเปิดเผยช่องโหว่ RCE ระดับ Critical บน F5 BIG-IP ที่มีหมายเลข CVE-2022-1388 โดยช่องโหว่นี้เกิดจากระบบ BIG-IP iControl REST และทำให้ผู้โจมตีสามารถเลี่ยงการตรวจสอบสิทธิ์ และสั่งรันคำสั่งที่เป็นอันตรายบนอุปกรณ์ด้วยสิทธิ์ระดับสูงได้

เนื่องจาก F5 BIG-IP ถูกใช้ในองค์กรต่างๆจำนวนมาก ช่องโหว่นี้จึงมีความเสี่ยงสูงมาก เนื่องจากจะทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวเพื่อเข้าถึงเครือข่ายของเหยื่อในขั้นต้น แล้วจึงค่อยแพร่กระจายไปยังอุปกรณ์อื่นๆ

การโจมตีประเภทนี้สามารถใช้เพื่อขโมยข้อมูลขององค์กร หรือติดตั้ง ransomware บนอุปกรณ์ทั้งหมดบนเครือข่าย

Exploits ถูกสร้างได้ง่ายมาก

สุดสัปดาห์นี้ นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Horizon3 และ Positive Technologies ต่างก็สามารถสร้าง Exploits ** สำหรับช่องโหว่ F5 BIG-IP ดังกล่าวได้ พวกเขาเตือนว่าผู้ดูแลระบบทุกคนควรอัปเดตอุปกรณ์ของตนโดยเร็วที่สุด

Zach Hanley จาก Horizon3 ให้ข้อมูลกับ BleepingComputer ว่าพวกเขาใช้เวลาเพียงสองวันในการสร้าง Exploits และคาดว่าผู้โจมตีจะเริ่มทำการโจมตีช่องโหว่ดังกล่าวในเร็วๆ นี้

Hanley บอกกับ BleepingComputer ผ่านอีเมลว่า "หากดูจากวิธีการแก้ไขชั่วคราวที่ออกมาจาก F5 สำหรับ CVE-2022-1388 ถือเป็นข้อมูลที่สำคัญมากในการทำ reverse application เพื่อสร้างเครื่องมือในการโจมตี ซึ่งคาดว่าผู้โจมตีรายอื่นๆก็อาจพบวิธีการสร้างเครื่องมือที่ใช้ในการโจมตีได้เช่นเดียวกัน"

Hanley ยังเตือนด้วยว่าผลกระทบจากการโจมตีช่องโหว่นี้นอกจากจะช่วยให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ได้แล้ว ยังสามารถทำให้ผู้โจมตีสามารถเข้าถึงเครือข่ายภายในองค์กรได้อีกด้วย

โดยนักวิจัยจาก Rapid7 จาค็อบ เบนส์ ทวีตว่าพบอุปกรณ์มากกว่า 2,500 เครื่องที่สามารถเข้าถึงได้จากอินเทอร์เน็ต ซึ่งทำให้มีความเสี่ยงอย่างมากต่อองค์กร

Horizon3 กล่าวว่าพวกเขาจะเผยแพร่ PoC ที่ใช้ในการทดสอบการโจมตีออกสู่สาธารณะภายในสัปดาห์นี้ เพื่อผลักดันให้องค์กรต่างๆรีบอัปเดตอุปกรณ์ของตนโดยด่วน

ติดตั้งการอัปเดตด้านความปลอดภัยทันที!

F5 ได้ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ F5 BIG-IP เรียบร้อยแล้ว ซึ่งผู้ดูแลระบบควรอัปเดตเป็นเวอร์ชันดังต่อไปนี้:

BIG-IP versions 16.1.0 to 16.1.2 (Patch released)
BIG-IP versions 15.1.0 to 15.1.5 (Patch released)
BIG-IP versions 14.1.0 to 14.1.4 (Patch released)
BIG-IP versions 13.1.0 to 13.1.4 (Patch released)
BIG-IP versions 12.1.0 to 12.1.6 (End of Support)
BIG-IP versions 11.6.1 to 11.6.5 (End of Support)
เวอร์ชัน 11.x และ 12.x จะไม่ได้รับการอัปเดตด้านความปลอดภัย และควรอัปเกรดเป็นเวอร์ชันใหม่โดยเร็วที่สุด

ที่มา : bleepingcomputer.

F5 ได้ออกคำเตือนช่องโหว่ด้านความปลอดภัย ที่อาจทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนระบบที่เข้าถึงได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ จากการดำเนินการกับไฟล์ และปิด services บน BIG-IP

ช่องโหว่นี้มีหมายเลข CVE-2022-1388 และมีระดับความรุนแรงของ CVSS v3 อยู่ที่ 9.8 ซึ่งอาจนำไปสู่การเข้าควบคุมระบบได้อย่างสมบูรณ์ โดยช่องโหว่จะเกิดขึ้นใน iControl REST component ซึ่งทำให้ผู้โจมตีสามารถส่ง request เพื่อ bypass การตรวจสอบจาก iControl REST บน BIG-IP

เนื่องจากการใช้งาน BIG-IP ในระบบที่สำคัญๆจำนวนมาก ทำให้วันนี้ทาง CISA ก็ได้ออกมาแจ้งเตือนถึงช่องโหว่ดังกล่าวด้วยเช่นเดียวกัน

โดยเวอร์ชันที่ได้รับผลกระทบมีดังนี้

BIG-IP versions 16.1.0 ถึง 16.1.2
BIG-IP versions 15.1.0 ถึง 16.1.5
BIG-IP versions 14.1.0 ถึง 14.1.4
BIG-IP versions 13.1.0 ถึง 13.1.4
BIG-IP versions 12.1.0 ถึง 12.1.6
BIG-IP versions 11.6.1 ถึง 11.6.5
ปัจจุบัน F5 ได้ออกแพตซ์แก้ไขออกมาแล้วในเวอร์ชัน v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6 และ v13.1.5 แต่เวอร์ชัน 12.x และ 11.x จะไม่มีแพตซ์ โดยที่ BIG-IQ Centralized Management, F5OS-A, F5OS-C และ Traffic SDC จะไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว

หากองค์กรใดที่ยังไม่สามารถอัปเดตได้ทันทีมีวิธีแก้ปัญหาชั่วคราวได้ 3 ช่องทางคือ

1.) บล็อกการเข้าถึงอินเทอร์เฟส iControl REST บน BIG-IP แต่วิธีการนี้อาจกระทบกับการทำ HA

2.) จำกัดการเข้าถึงจากผู้ใช้ หรืออุปกรณ์ที่ได้รับอนุญาตเท่านั้น

3.) แก้ไขคอนฟิคใน httpd บน BIG-IP

พบอุปกรณ์ BIG-IP เปิดให้เข้าถึงได้กว่า 16,000 เครื่อง

Warfield Shodan แสดงให้เห็นว่าขณะนี้มีอุปกรณ์ F5 BIG-IP จำนวน 16,142 เครื่องที่เข้าถึงได้โดยตรงจากอินเทอร์เน็ต อุปกรณ์เหล่านี้ส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา รองลงมาคือจีน อินเดีย ออสเตรเลีย และญี่ปุ่นนักวิจัยด้านความปลอดภัยคาดว่าผู้โจมตีจะเริ่มสแกนหาอุปกรณ์ที่มีช่องโหว่ในเร็วๆ นี้ ดังนั้นผู้ดูแลระบบจะต้องรีบอัปเดตอุปกรณ์เหล่านี้โดยเร็วที่สุด หรืออย่างน้อยก็ใช้การบรรเทาผลกระทบ ดังนี้

ที่มา :  bleepingcomputer ,  techtalkthai