แจ้งเตือน! NCC Group พบกลุ่มเเฮกเกอร์พยายามใช้ประโยชน์จากช่องโหว่ CVE-2021-22986 ในอุปกรณ์ F5 BIG-IP โจมตีอุปกรณ์ที่ไม่ได้รับการอัปเดตแพตช์เป็นจำนวนมาก

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากบริษัท NCC Group และนักวิจัยด้านรักษาความปลอดภัยจาก Bad Packets ได้ตรวจพบการพยายามใช้ช่องโหว่ CVE-2021-22986 ในอุปกรณ์ F5 BIG-IP และ BIG-IQ อย่างมากในสัปดาห์ที่ผ่านมา

สืบเนื่องมาจากเมื่อช่วงต้นเดือนมีนาคม F5 Networks ได้เปิดตัว การอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ร้ายเเรงจำนวน 7 รายการในผลิตภัณฑ์ BIG-IP ซึ่งสามารถอ่านรายละเอียดได้ที่: i-secure

โดยหลังจากที่นักวิจัยด้านความปลอดภัยได้ทำการเผยแพร่โค้ด Proof-of-Concept สำหรับช่องโหว่ทางสาธารณะหลังจากที่ทาง F5 Networks ได้ทำการการแก้ไขช่องโหว่แล้ว ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จาก NCC Group และ Bad Packets ได้สังเกตเห็นกลุ่มแฮกเกอร์หลายกลุ่มเริ่มทำการโจมตีอุปกรณ์ F5 BIG-IP และ BIG-IQ ที่ไม่ได้รับการอัปเดตเเพตช์จำนวนมาก นอกจากนี้ทีม Unit 42 จาก Palo Alto Networks ยังได้พบการพยายามที่จะใช้ประโยชน์จากช่องโหว่ CVE-2021-22986 เพื่อทำการติดตั้ง Mirai botnet ในรุ่นต่างๆ แต่ในขณะนี้ยังมีไม่ความชัดเจนการโจมตีเหล่านั้นประสบความสำเร็จหรือไม่

สำหรับช่องโหว่ CVE-2021-22986 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ช่วยให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันคำสั่งได้ในส่วน iControl REST interface ซึ่งมีคะแนน CVSS อยู่ที่ 9.8 /10 และมีผลต่ออุปกรณ์ BIG-IP และ BIG-IQ

ทั้งนี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ออกมาแนะนำให้ผู้ดูแลระบบควรรีบทำการอัปเดตเเพตช์โดยด่วนเพื่อป้องกันการตกเป็นเป้าหมายของการโจมตีจากผู้ประสงค์ร้าย

ที่มา: securityaffairs, bleepingcomputer, thehackernews

F5 ประกาศช่องโหว่ร้ายแรง 4 รายการ ใน BIG-IP และ BIG-IQ ผู้ดูแลระบบควรทำการอัปเดตโดยด่วน

F5 Networks ผู้ให้บริการอุปกรณ์เครือข่ายระดับองค์กรชั้นนำได้ประกาศถึงการพบช่องโหว่ร้ายแรง ที่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้จากระยะไกล (Remote Code Execution - RCE) จำนวน 4 รายการที่ส่งผลกระทบต่อซอฟต์แวร์ BIG-IP และ BIG-IQ โดยรายละเอียดช่องโหว่ทั้ง 4 รายการมีดังนี้

ช่องโหว่ CVE-2021-22986 (CVSS 9.8/10) เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ช่วยให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันคำสั่งได้ในส่วน iControl REST interface
ช่องโหว่ CVE-2021-22987 (CVSS 9.9/10) เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกล ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันคำสั่งในโหมด Appliance Traffic Management User Interface (TMUI) หรือที่เรียกว่ายูทิลิตี้ Configuration ได้
ช่องโหว่ CVE-2021-22991 (CVSS 9.0 / 10) เป็นช่องโหว่ Buffer-overflow ที่เกิดจากการจัดการของ Traffic Management Microkernel (TMM) URI normalization ซึ่งอาจทำให้เกิด Buffer Overflow จนนำไปสู่การโจมตี Denial-of-service (DoS)
ช่องโหว่ CVE-2021-22992 (CVSS 9.0 / 10) เป็นช่องโหว่ Buffer overflow ที่เกิดขึ้นใน Advanced WAF/BIG-IP ASM โดยผู้โจมตีสามารถทำการส่ง HTTP Response ไปยัง Login Page ซึ่งอาจทำให้เกิด Buffer overflow จนนำไปสู่การโจมตี Denial-of-service (DoS) หรือในบางกรณีอาจทำให้ผู้โจมตีสามารถรันโค้ดได้จากระยะไกล

นอกจากนี้ F5 ยังได้ประกาศแพตช์เพื่อเเก้ไขช่องโหว่อีก 3 รายการโดย 2 รายการมีความรุนแรง High และ Medium ตามลำดับและมีระดับความรุนเเรง CVSS ที่อยู่ 6.6 - 8.8/10 ซึ่งช่องโหว่จะส่งผลให้ผู้โจมตีที่ผ่านการพิสูจน์ตัวตนแล้วสามารถรันโค้ดได้จากระยะไกล

เพื่อเป็นแนวทางการป้องกันการใช้ประโยชน์จากช่องโหว่ใน BIG-IP ผู้ดูแลระบบควรทำการอัปเดตเวอร์ชันเป็น 6.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 และ 11.6.5.3 สำหรับในส่วน BIG-IQ ซึ่งจะได้รับผลกระทบจากช่องโหว่ CVE-2021-22986 ผู้ดูแลระบบสามารถทำการอัปเดตเวอร์ชันเป็น 8.0.0, 7.1.0.3 และ 7.0.0.2

ที่มา: bleepingcomputer