F5 telah merilis hotfix untuk produk BIG-IP dan BIG-IQ-nya, mengatasi dua kelemahan dengan tingkat keparahan tinggi yang memungkinkan penyerang melakukan eksekusi kode jarak jauh (RCE) yang tidak diautentikasi pada titik akhir yang rentan.
Meskipun kekurangan ini memerlukan kriteria khusus, membuatnya sangat sulit untuk dieksploitasi, F5 memperingatkan bahwa hal itu dapat menyebabkan kompromi total pada perangkat.
Cacat pertama dilacak sebagai CVE-2022-41622 (CVSS v3 – 8.8) dan merupakan RCE yang tidak diautentikasi melalui pemalsuan lintas situs pada iControl SOAP, yang berdampak pada beberapa versi BIG-IP dan BIG-IQ.
“Seorang penyerang dapat mengelabui pengguna yang memiliki setidaknya hak istimewa peran administrator sumber daya dan diautentikasi melalui autentikasi dasar di iControl SOAP untuk melakukan tindakan kritis,” menjelaskan penasehat F5.
“Jika dieksploitasi, kerentanan dapat membahayakan sistem yang lengkap.”
Cacat kedua adalah CVE-2022-41800 (CVSS v3 – 8.7), RCE yang diautentikasi melalui injeksi spesifikasi RPM, yang memengaruhi komponen REST iControl.
Versi BIG-IP yang rentan adalah:
- 13.1.0 – 13.1.5
- 14.1.0 – 14.1.5
- 15.1.0 – 15.1.8
- 16.1.0 – 16.1.3
- 17.0.0
Untuk BIG-IQ, versi yang terpengaruh adalah:
Pelanggan yang terpengaruh disarankan untuk meminta hotfix teknis untuk versi produk mereka dari F5 dan menginstalnya secara manual.
Untuk menyelesaikan CVE-2022-41622, admin juga harus menonaktifkan Otentikasi Dasar untuk SOAP iControl setelah menginstal hotfix.
Detail teknis dirilis
Kerentanan ditemukan oleh para peneliti di Rapid7 pada Juli 2022 dan dilaporkan ke F5 pada Agustus 2022.
Kemarin, Rapid7 menerbitkan laporan terperinci tentang kekurangan yang mengungkapkan rincian teknis dari kerentanan.
“Dengan berhasil mengeksploitasi kerentanan terburuk (CVE-2022-41622), penyerang dapat memperoleh akses root terus-menerus ke antarmuka manajemen perangkat (bahkan jika antarmuka manajemen tidak menghadap ke internet),” jelas laporan oleh Rapid7.
Namun, agar serangan seperti itu berhasil, administrator dengan sesi aktif harus dibujuk untuk mengunjungi situs web jahat dengan browser yang sama yang digunakan untuk mengelola IP-BIG.
Selain itu, penyerang perlu mengetahui alamat instance BIG-IP yang ditargetkan untuk memberlakukan pemalsuan permintaan lintas situs terhadap admin.
Karena itu, peneliti Rapid7 Ron Bowes percaya bahwa kecil kemungkinan kerentanan akan dieksploitasi secara luas.
Untuk CVE-2022-41800penyerang harus diautentikasi dengan ‘Admin Sumber Daya’ atau hak istimewa yang lebih tinggi, sehingga dampaknya tidak begitu penting.
F5 tidak mengetahui adanya insiden eksploitasi yang melibatkan salah satu kerentanan yang diungkapkan oleh Rapid7.
Analis telah menerbitkan rincian teknis yang luas, termasuk a bukti eksploitasi konsep untuk CVE-2022-41622, jadi penting untuk mengatasi kerentanan sesegera mungkin.
Terlepas dari dua kelemahan dengan tingkat keparahan tinggi, Rapid7 juga menemukan beberapa metode pemintas kontrol keamanan (SELinux), tetapi ini tidak akan diperbaiki sebagai vendor tidak mempertimbangkan mereka praktis dieksploitasi.
