ช่องโหว่ Critical บน F5 BIG-IP เริ่มถูกใช้ในการโจมตีเพื่อลบข้อมูลบนระบบ

ช่องโหว่บน F5 BIG-IP ที่ถูกเปิดเผยออกมาเมื่อเร็วๆ นี้ เริ่มถูกนำมาใช้ในการโจมตีโดยการพยายามลบ file system บนเครื่อง BIG-IP ของเหยื่อ เพื่อทำให้ระบบไม่สามารถเข้าใช้งานได้

เมื่อสัปดาห์ที่แล้ว F5 เปิดเผยช่องโหว่หมายเลข CVE-2022-1388 ซึ่งทำให้ผู้โจมตีสามารถสั่งรันคำสั่งบนอุปกรณ์ BIG-IP ด้วยสิทธิ์ 'root' โดยไม่ต้องมีการตรวจสอบสิทธิ์ เนื่องจากระดับความอันตรายของช่องโหว่ดังกล่าว F5 แนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์โดยเร็วที่สุด

ไม่กี่วันต่อมานักวิจัยปล่อย exploits ที่ใช้สำหรับทดสอบการโจมตีออกสู่สาธารณะทั้งทาง Twitter และ GitHub ซึ่งทำให้ผู้โจมตีทั่วไปสามารถนำมาปรับใช้ในการโจมตีได้

แม้ว่าการโจมตีส่วนใหญ่จะใช้เพื่อ drop webshells เพื่อใช้ในการเข้าถึงเครือข่ายในเบื้องต้น, ขโมยคีย์ SSH และระบุข้อมูลบนระบบ แต่ล่าสุดทาง SANS Internet Storm Center พบว่ามีการโจมตีสองครั้งที่โจมตีอุปกรณ์ BIG-IP ในลักษณะที่ร้ายแรงกว่ามาก

SANS กล่าวว่า honeypots ของพวกเขาพบการโจมตีสองครั้งที่มาจาก IP 177.54.127[.]111 ที่มีการสั่งรันคำสั่ง 'rm -rf /' บนอุปกรณ์ BIG-IP ของเป้าหมาย ซึ่งคำสั่งนี้เป็นความพยายามจะลบไฟล์ทั้งหมดบนระบบ Linux ของอุปกรณ์ BIG-IP เนื่องจากช่องโหว่ดังกล่าวทำให้ผู้โจมตีมีสิทธิ์ root ในระบบปฏิบัติการ Linux คำสั่ง rm -rf / จึงสามารถลบไฟล์ได้เกือบทุกไฟล์ รวมถึงไฟล์ configuration ที่จำเป็นสำหรับอุปกรณ์

การโจมตีรูปแบบนี้อาจยังพบไม่มากนัก เพราะผู้โจมตีส่วนใหญ่ต้องการเข้าควบคุมอุปกรณ์มากกว่าสร้างความเสียหาย

บริษัทข่าวกรองด้านภัยคุกคามความปลอดภัยทางไซเบอร์ Bad Packets และ GreyNoise กล่าวว่าพวกเขาไม่พบการโจมตีในลักษณะดังกล่าวบน honeypots ของพวกเขา

Kimber นักวิจัยของ GreyNoise กล่าวว่าส่วนใหญ่พฤติกรรมที่เห็นจะเป็นการ drop webshells, exfiltrate configs หรือเรียกใช้คำสั่งเพื่อสร้างบัญชีผู้ดูแลระบบบนอุปกรณ์ ซึ่งการโจมตีที่เกิดขึ้นทำให้ผู้ดูแลระบบจำเป็นต้องอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุด และไม่เปิดให้เข้าถึงหน้า management ของ BIG-IP จากภายนอก

ที่มา : bleepingcomputer.

พบการสร้าง Exploits สำหรับใช้โจมตีช่องโหว่ Critical บน F5 BIG-IP แล้ว องค์กรควรรีบอัปเดตแพตช์ทันที!

นักวิจัยด้านความปลอดภัยแจ้งเตือนผู้ดูแลระบบ F5 BIG-IP ให้รีบติดตั้งแพตซ์อัปเดตด้านความปลอดภัยล่าสุดทันที หลังจากพบว่ามีการสร้าง Exploits ที่ใช้สำหรับการโจมตีช่องโหว่ Remote code execution (CVE-2022-1388) เรียบร้อยแล้ว

เมื่อสัปดาห์ที่ผ่านมา F5 ออกมาเปิดเผยช่องโหว่ RCE ระดับ Critical บน F5 BIG-IP ที่มีหมายเลข CVE-2022-1388 โดยช่องโหว่นี้เกิดจากระบบ BIG-IP iControl REST และทำให้ผู้โจมตีสามารถเลี่ยงการตรวจสอบสิทธิ์ และสั่งรันคำสั่งที่เป็นอันตรายบนอุปกรณ์ด้วยสิทธิ์ระดับสูงได้

เนื่องจาก F5 BIG-IP ถูกใช้ในองค์กรต่างๆจำนวนมาก ช่องโหว่นี้จึงมีความเสี่ยงสูงมาก เนื่องจากจะทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวเพื่อเข้าถึงเครือข่ายของเหยื่อในขั้นต้น แล้วจึงค่อยแพร่กระจายไปยังอุปกรณ์อื่นๆ

การโจมตีประเภทนี้สามารถใช้เพื่อขโมยข้อมูลขององค์กร หรือติดตั้ง ransomware บนอุปกรณ์ทั้งหมดบนเครือข่าย

Exploits ถูกสร้างได้ง่ายมาก

สุดสัปดาห์นี้ นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Horizon3 และ Positive Technologies ต่างก็สามารถสร้าง Exploits ** สำหรับช่องโหว่ F5 BIG-IP ดังกล่าวได้ พวกเขาเตือนว่าผู้ดูแลระบบทุกคนควรอัปเดตอุปกรณ์ของตนโดยเร็วที่สุด

Zach Hanley จาก Horizon3 ให้ข้อมูลกับ BleepingComputer ว่าพวกเขาใช้เวลาเพียงสองวันในการสร้าง Exploits และคาดว่าผู้โจมตีจะเริ่มทำการโจมตีช่องโหว่ดังกล่าวในเร็วๆ นี้

Hanley บอกกับ BleepingComputer ผ่านอีเมลว่า "หากดูจากวิธีการแก้ไขชั่วคราวที่ออกมาจาก F5 สำหรับ CVE-2022-1388 ถือเป็นข้อมูลที่สำคัญมากในการทำ reverse application เพื่อสร้างเครื่องมือในการโจมตี ซึ่งคาดว่าผู้โจมตีรายอื่นๆก็อาจพบวิธีการสร้างเครื่องมือที่ใช้ในการโจมตีได้เช่นเดียวกัน"

Hanley ยังเตือนด้วยว่าผลกระทบจากการโจมตีช่องโหว่นี้นอกจากจะช่วยให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ได้แล้ว ยังสามารถทำให้ผู้โจมตีสามารถเข้าถึงเครือข่ายภายในองค์กรได้อีกด้วย

โดยนักวิจัยจาก Rapid7 จาค็อบ เบนส์ ทวีตว่าพบอุปกรณ์มากกว่า 2,500 เครื่องที่สามารถเข้าถึงได้จากอินเทอร์เน็ต ซึ่งทำให้มีความเสี่ยงอย่างมากต่อองค์กร

Horizon3 กล่าวว่าพวกเขาจะเผยแพร่ PoC ที่ใช้ในการทดสอบการโจมตีออกสู่สาธารณะภายในสัปดาห์นี้ เพื่อผลักดันให้องค์กรต่างๆรีบอัปเดตอุปกรณ์ของตนโดยด่วน

ติดตั้งการอัปเดตด้านความปลอดภัยทันที!

F5 ได้ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ F5 BIG-IP เรียบร้อยแล้ว ซึ่งผู้ดูแลระบบควรอัปเดตเป็นเวอร์ชันดังต่อไปนี้:

BIG-IP versions 16.1.0 to 16.1.2 (Patch released)
BIG-IP versions 15.1.0 to 15.1.5 (Patch released)
BIG-IP versions 14.1.0 to 14.1.4 (Patch released)
BIG-IP versions 13.1.0 to 13.1.4 (Patch released)
BIG-IP versions 12.1.0 to 12.1.6 (End of Support)
BIG-IP versions 11.6.1 to 11.6.5 (End of Support)
เวอร์ชัน 11.x และ 12.x จะไม่ได้รับการอัปเดตด้านความปลอดภัย และควรอัปเกรดเป็นเวอร์ชันใหม่โดยเร็วที่สุด

ที่มา : bleepingcomputer.

F5 แจ้งเตือนช่องโหว่ RCE ระดับ Critical บน F5 BIG-IP ซึ่งอาจส่งผลให้ถูกเข้าควบคุมระบบได้

F5 ได้ออกคำเตือนช่องโหว่ด้านความปลอดภัย ที่อาจทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนระบบที่เข้าถึงได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ จากการดำเนินการกับไฟล์ และปิด services บน BIG-IP

ช่องโหว่นี้มีหมายเลข CVE-2022-1388 และมีระดับความรุนแรงของ CVSS v3 อยู่ที่ 9.8 ซึ่งอาจนำไปสู่การเข้าควบคุมระบบได้อย่างสมบูรณ์ โดยช่องโหว่จะเกิดขึ้นใน iControl REST component ซึ่งทำให้ผู้โจมตีสามารถส่ง request เพื่อ bypass การตรวจสอบจาก iControl REST บน BIG-IP

เนื่องจากการใช้งาน BIG-IP ในระบบที่สำคัญๆจำนวนมาก ทำให้วันนี้ทาง CISA ก็ได้ออกมาแจ้งเตือนถึงช่องโหว่ดังกล่าวด้วยเช่นเดียวกัน

โดยเวอร์ชันที่ได้รับผลกระทบมีดังนี้

BIG-IP versions 16.1.0 ถึง 16.1.2
BIG-IP versions 15.1.0 ถึง 16.1.5
BIG-IP versions 14.1.0 ถึง 14.1.4
BIG-IP versions 13.1.0 ถึง 13.1.4
BIG-IP versions 12.1.0 ถึง 12.1.6
BIG-IP versions 11.6.1 ถึง 11.6.5
ปัจจุบัน F5 ได้ออกแพตซ์แก้ไขออกมาแล้วในเวอร์ชัน v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6 และ v13.1.5 แต่เวอร์ชัน 12.x และ 11.x จะไม่มีแพตซ์ โดยที่ BIG-IQ Centralized Management, F5OS-A, F5OS-C และ Traffic SDC จะไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว

หากองค์กรใดที่ยังไม่สามารถอัปเดตได้ทันทีมีวิธีแก้ปัญหาชั่วคราวได้ 3 ช่องทางคือ

1.) บล็อกการเข้าถึงอินเทอร์เฟส iControl REST บน BIG-IP แต่วิธีการนี้อาจกระทบกับการทำ HA

2.) จำกัดการเข้าถึงจากผู้ใช้ หรืออุปกรณ์ที่ได้รับอนุญาตเท่านั้น

3.) แก้ไขคอนฟิคใน httpd บน BIG-IP

พบอุปกรณ์ BIG-IP เปิดให้เข้าถึงได้กว่า 16,000 เครื่อง

Warfield Shodan แสดงให้เห็นว่าขณะนี้มีอุปกรณ์ F5 BIG-IP จำนวน 16,142 เครื่องที่เข้าถึงได้โดยตรงจากอินเทอร์เน็ต อุปกรณ์เหล่านี้ส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา รองลงมาคือจีน อินเดีย ออสเตรเลีย และญี่ปุ่นนักวิจัยด้านความปลอดภัยคาดว่าผู้โจมตีจะเริ่มสแกนหาอุปกรณ์ที่มีช่องโหว่ในเร็วๆ นี้ ดังนั้นผู้ดูแลระบบจะต้องรีบอัปเดตอุปกรณ์เหล่านี้โดยเร็วที่สุด หรืออย่างน้อยก็ใช้การบรรเทาผลกระทบ ดังนี้

ที่มา :  bleepingcomputer ,  techtalkthai

 

ค้นพบช่องโหว่ใหม่บน F5 Big-IP ส่งผลให้สามารถข้ามผ่านกระบวนการความปลอดภัยของ Key Distribution Center (KDC) บน Kerberos Protocol ได้

ช่องโหว่ CVE-2021-23008 (คะแนน 8.1/10) ส่งผลให้ผู้ไม่หวังดีสามารถข้ามผ่าน (Bypass) กระบวนการพิสูจน์ตัวตน (Authentication) บน Kerberos ไปยัง Big-IP Access Policy Manager (APM) และข้ามผ่านข้อกำหนดความปลอดภัย (Security Policies) ได้

ทั้งนี้ Key Distribution Center (KDC) ทำงานอยู่บนโปรโตคอล Kerberos ซึ่งเป็นโปรโตคอลที่ใช้สำหรับทำหน้าที่พิสูจน์ตัวตน (Authentication) โดยมี KDC ที่ทำงานเปรียบเสมือนเซิร์ฟเวอร์ตัวกลางที่ใช้ในการเก็บ Shared Secret Key และสิทธิ์ของผู้ใช้งานทุกคน จากนั้นจะทำหน้าที่แจกจ่าย Ticket ให้กับผู้ใช้งานที่ถูกต้องไปใช้เข้าถึง service ที่ต้องการ การโจมตีนี้เกิดขึ้นได้จากการที่ผู้ไม่หวังดีส่ง Response (AS-REP: Kerberos Authentication Service Response) ที่ถูกปลอม (Spoofed) ในกระบวนการเชื่อมต่อของ Kerberos Key Distribution Center (KDC) ที่ถูกยึดครองแล้ว หรือจาก AD Server ที่ถูกยึดครองโดยผู้ไม่หวังดีแล้ว หากมีการใช้งานร่วมกับ AD ด้วย

Big-IP APM เวอร์ชันที่ได้รับผลกระทบจะประกอบไปด้วย 11.5.2 - 11.6.5 (ยังไม่มีแพทช์), 12.1.0 - 12.1.5 (อัพเดตเป็น 12.1.6), 13.1.0 - 13.1.3 (อัพเดตเป็น 13.1.4), 14.1.0 - 14.1.3 (อัพเดตเป็น 14.1.4), 15.0.0 - 15.1.2 (อัพเดตเป็น 15.1.3) และ 16.0.0 - 16.0.1 (ยังไม่มีแพทช์) ควรทำการอัพเดตตามเวอร์ชัน หากมีแพทช์แล้ว

ที่มา: thehackernews, support.

แจ้งเตือน! NCC Group พบกลุ่มเเฮกเกอร์พยายามใช้ประโยชน์จากช่องโหว่ CVE-2021-22986 ในอุปกรณ์ F5 BIG-IP โจมตีอุปกรณ์ที่ไม่ได้รับการอัปเดตแพตช์เป็นจำนวนมาก

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากบริษัท NCC Group และนักวิจัยด้านรักษาความปลอดภัยจาก Bad Packets ได้ตรวจพบการพยายามใช้ช่องโหว่ CVE-2021-22986 ในอุปกรณ์ F5 BIG-IP และ BIG-IQ อย่างมากในสัปดาห์ที่ผ่านมา

สืบเนื่องมาจากเมื่อช่วงต้นเดือนมีนาคม F5 Networks ได้เปิดตัว การอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ร้ายเเรงจำนวน 7 รายการในผลิตภัณฑ์ BIG-IP ซึ่งสามารถอ่านรายละเอียดได้ที่: i-secure

โดยหลังจากที่นักวิจัยด้านความปลอดภัยได้ทำการเผยแพร่โค้ด Proof-of-Concept สำหรับช่องโหว่ทางสาธารณะหลังจากที่ทาง F5 Networks ได้ทำการการแก้ไขช่องโหว่แล้ว ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จาก NCC Group และ Bad Packets ได้สังเกตเห็นกลุ่มแฮกเกอร์หลายกลุ่มเริ่มทำการโจมตีอุปกรณ์ F5 BIG-IP และ BIG-IQ ที่ไม่ได้รับการอัปเดตเเพตช์จำนวนมาก นอกจากนี้ทีม Unit 42 จาก Palo Alto Networks ยังได้พบการพยายามที่จะใช้ประโยชน์จากช่องโหว่ CVE-2021-22986 เพื่อทำการติดตั้ง Mirai botnet ในรุ่นต่างๆ แต่ในขณะนี้ยังมีไม่ความชัดเจนการโจมตีเหล่านั้นประสบความสำเร็จหรือไม่

สำหรับช่องโหว่ CVE-2021-22986 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ช่วยให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันคำสั่งได้ในส่วน iControl REST interface ซึ่งมีคะแนน CVSS อยู่ที่ 9.8 /10 และมีผลต่ออุปกรณ์ BIG-IP และ BIG-IQ

ทั้งนี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ออกมาแนะนำให้ผู้ดูแลระบบควรรีบทำการอัปเดตเเพตช์โดยด่วนเพื่อป้องกันการตกเป็นเป้าหมายของการโจมตีจากผู้ประสงค์ร้าย

ที่มา: securityaffairs, bleepingcomputer, thehackernews