F5 ได้ออกคำเตือนช่องโหว่ด้านความปลอดภัย ที่อาจทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนระบบที่เข้าถึงได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ จากการดำเนินการกับไฟล์ และปิด services บน BIG-IP
ช่องโหว่นี้มีหมายเลข CVE-2022-1388 และมีระดับความรุนแรงของ CVSS v3 อยู่ที่ 9.8 ซึ่งอาจนำไปสู่การเข้าควบคุมระบบได้อย่างสมบูรณ์ โดยช่องโหว่จะเกิดขึ้นใน iControl REST component ซึ่งทำให้ผู้โจมตีสามารถส่ง request เพื่อ bypass การตรวจสอบจาก iControl REST บน BIG-IP
เนื่องจากการใช้งาน BIG-IP ในระบบที่สำคัญๆจำนวนมาก ทำให้วันนี้ทาง CISA ก็ได้ออกมาแจ้งเตือนถึงช่องโหว่ดังกล่าวด้วยเช่นเดียวกัน
โดยเวอร์ชันที่ได้รับผลกระทบมีดังนี้
BIG-IP versions 16.1.0 ถึง 16.1.2
BIG-IP versions 15.1.0 ถึง 16.1.5
BIG-IP versions 14.1.0 ถึง 14.1.4
BIG-IP versions 13.1.0 ถึง 13.1.4
BIG-IP versions 12.1.0 ถึง 12.1.6
BIG-IP versions 11.6.1 ถึง 11.6.5
ปัจจุบัน F5 ได้ออกแพตซ์แก้ไขออกมาแล้วในเวอร์ชัน v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6 และ v13.1.5 แต่เวอร์ชัน 12.x และ 11.x จะไม่มีแพตซ์ โดยที่ BIG-IQ Centralized Management, F5OS-A, F5OS-C และ Traffic SDC จะไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว
หากองค์กรใดที่ยังไม่สามารถอัปเดตได้ทันทีมีวิธีแก้ปัญหาชั่วคราวได้ 3 ช่องทางคือ
1.) บล็อกการเข้าถึงอินเทอร์เฟส iControl REST บน BIG-IP แต่วิธีการนี้อาจกระทบกับการทำ HA
2.) จำกัดการเข้าถึงจากผู้ใช้ หรืออุปกรณ์ที่ได้รับอนุญาตเท่านั้น
3.) แก้ไขคอนฟิคใน httpd บน BIG-IP
พบอุปกรณ์ BIG-IP เปิดให้เข้าถึงได้กว่า 16,000 เครื่อง
Warfield Shodan แสดงให้เห็นว่าขณะนี้มีอุปกรณ์ F5 BIG-IP จำนวน 16,142 เครื่องที่เข้าถึงได้โดยตรงจากอินเทอร์เน็ต อุปกรณ์เหล่านี้ส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา รองลงมาคือจีน อินเดีย ออสเตรเลีย และญี่ปุ่นนักวิจัยด้านความปลอดภัยคาดว่าผู้โจมตีจะเริ่มสแกนหาอุปกรณ์ที่มีช่องโหว่ในเร็วๆ นี้ ดังนั้นผู้ดูแลระบบจะต้องรีบอัปเดตอุปกรณ์เหล่านี้โดยเร็วที่สุด หรืออย่างน้อยก็ใช้การบรรเทาผลกระทบ ดังนี้
ที่มา : bleepingcomputer , techtalkthai