Kritieke F5 BIG-IP kwetsbaarheid na PoC actief aangevallen

Ongeveer 10 dagen nadat F5 Networks patches had uitgebracht voor de kritieke kwetsbaarheden in de F5 BIG-IP en F5 BIG-IQ producten, zijn kwaadwillenden begonnen met het op grote schaal scannen en zich te richten op nog niet gepatchte devices om zo binnen te komen bij bedrijfsnetwerken.

Het nieuws over het actief misbruiken van de kwetsbaarheden komt, nadat er vorige week een Proof-of-Concept (PoC) online is verschreven. Deze is gemaakt door reverse-engineering toe te passen op de Java software patch in BIG-IP.

Bad Packets laat via Twitter weten op 18 maart dat er een grote toename is van het scannen vanaf het IP-adres 135.148.33.100, dit is een tor exit node.

De kwetsbaarheden

Het betreft hier CVE-2021-22986 welke een CVSS score van 9,8/10 heeft en zowel impact heeft op BIG-IP als BIG-IQ. Deze kwetsbaarheid is kritiek, omdat het gaat om een remote command execution (RCE) kwetsbaarheid in de iControl REST interface, waarbij authenticatie niet nodig is. Dit zorgt ervoor dat een aanvaller de mogelijkheid heeft om willekeurige systeem commando’s uit te voeren, bestanden kan aanmaken of verwijderen en het uitschakelen van verschillende services.

Het succesvol misbruiken van deze kwetsbaarheden kan leiden tot het volledige compromitteren van de kwetsbare devices, waaronder de mogelijkheid voor remote code execution en het triggeren van een buffer overflow, welke kan leiden tot een Denial of Service (DoS) aanval.

Afbeelding: thehackernews

Welke versies zijn kwetsbaar?

De volgende F5 BIG-IP versies zijn kwetsbaar voor CVE-2021-22986:

  • Versie 11.6
  • Versies 12.x en nieuwer

De volgende F5 BIG-IQ versies zijn kwetsbaar voor CVE-2021-22986:

  • Versies 6.x
  • Versies 7.x

Actief misbruik van de kwetsbaarheid

F5 gaf aan dat het niet op de hoogte was van het misbruik van deze kwetsbaarheden op 10 maart. Onderzoekers van de NCC Group geven nu aan dat ze bewijs hebben gevonden van “full chain exploitation of F5 BIG-IP/BIG-IQ iControl REST API vulnerabilities CVE-2021-22986”. Dit komt nadat ze meerdere misbruik pogingen hebben gezien bij hun eigen honeypot infrastructuur.

Daarnaast heeft het Unit 42 threat intelligence team van Palo Alto Networks aangegeven via Twitter dat ze pogingen hebben gezien van het misbruiken van CVE-2021-22986 om een variant van het Mirai botnet te installeren. Het betreft hier de nieuwe Mirai botnet variant uit het artikel van vorige week. Het is niet direct duidelijk of deze aanvallen ook succesvol zijn geweest.

Populariteit BIG-IP/BIG-IQ

F5 BIG-IP/BIG-IQ worden veel gebruikt in bedrijfsnetwerken en overheidsnetwerken, daarom is het geen verassing dat het de 2de keer binnen een jaar is dat F5 apparaten een lucratief doelwit zijn voor misbruik door kwaadwillenden.

In juli 2020 had F5 te maken met een soortgelijke kritieke kwetsbaarheid (CVE-2020-5902), welke wij ook hebben uitgewerkt in het artikel Ernstige kritieke kwetsbaarheid in BIG-IP ADC van F5. Welke misbruikt werd door Iraanse en Chinese staat gesponsorde hacker groepen.

“Het komt er op neer dat deze kwetsbaarheden impact hebben op alle BIG-IP en BIG-IQ klanten, daarom adviseren wij al onze klanten om hun BIG-IP en BIG-IQ devices te updaten naar gepatchte versies zo snel mogelijk,” gaf F5 Senior Vice President Kara Sprague vorige week aan.

Updates beschikbaar?

Er kan geüpdatet of geüpgraded worden naar een van de volgende BIG-IP versies om niet meer kwetsbaar te zijn voor CVE-2021-22986:

  • Versie 16.0.1.1
  • Versie 15.1.2.1
  • Versie 14.1.4
  • Versie 13.1.3.6
  • Versie 12.1.5.3
  • Versie 11.6.5.3

Daarnaast kan geüpdatet of geüpgraded worden naar een van de volgende BIG-IQ versies om niet meer kwetsbaar te zijn voor CVE-2021-22986:

  • Versie 8.0.0
  • Versie 7.1.0.3
  • Versie 7.0.0.2

Advies

Wij adviseren iedereen om die gebruikt maakt van (kwetsbare) F5 BIG-IP en/of BIG-IQ devices om deze z.s.m te updaten of upgraden naar een van de niet kwetsbare versies wanneer dit nog niet gedaan is. Dit om te voorkomen dat kwaadwillenden misbruik gaan maken van deze kwetsbare devices.

Source

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

Nieuwe Mirai botnet variant richt zich op SonicWall, D-link, Netgear en IoT devices
Apple brengt urgente patch uit voor actief aangevallen zero-day kwetsbaarheid

Gerelateerde berichten

VMware

Kritieke Cloud kwetsbaarheid in VMWare Carbon Black

Apple brengt urgente patch uit voor actief aangevallen zero-day kwetsbaarheid

Mirai

Nieuwe Mirai botnet variant richt zich op SonicWall, D-link, Netgear en IoT devices

Een tikkende tijdbom

4 actief aangevallen zero-day kwetsbaarheden in Exchange gepatcht door Microsoft

VMware

Kritieke RCE kwetsbaarheden voor VMware ESXi en vSphere Client

Microsoft

Microsoft trekt defecte servicing stack update in na problemen voor gebruikers

Ransomware

De huidige Ransomware en Phishing aanvallen Trends

phishing

UPDATE: Agent Tesla Malware gespot met nieuwe bezorg- en ontwijktechnieken

Android malware

Nieuwe wormachtige Android malware verspreid zich via WhatsApp

dnsspooq

DNSpooq een verzameling van verschillende kwetsbaarheden voor DNSMasq DNS Forwarder

malware

Kwaadaardige software infrastructuur eenvoudiger te verkrijgen en uit te rollen dan ooit

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

een × 3 =

Menu