آسیب‌پذیری RCE باشدت بالا در محصولات F5

مقدمه

کارشناسان Rapid7 آسیب‌پذیری‌های مختلفی را در دستگاه‌های BIG-IP و BIG-IQ مشاهده کردند.

جزئیات آسیب‌پذیری

دو مورد از آسیب‌پذیری‌ها به عنوان آسیب‌پذیری‌های اجرای کد از راه دور با شدت بالا دسته‌بندی شده‌اند. آسیب‌پذیری اول با شناسه "CVE-2022-41622"، یک نقص اجرای کد از راه دور از طریق cross-site request forgery (CSRF) است که محصولات BIG-IP و BIG-IQ را تحت تاثیر قرار می‌دهد. در این مورد، حتی اگر رابط مدیریت دستگاه در معرض اینترنت نباشد، بهره‌برداری همچنان می‌تواند یک مهاجم از راه دور و احراز هویت نشده را قادر به دسترسی root کند.

مهاجم ممکن است کاربرانی که حداقل دارای نقش administrator هستند و از طریق احراز هویت اولیه در iControl SOAP احراز هویت شده‌اند را فریب دهد تا اقدامات مهمی را انجام دهند. مهاجم می‌تواند از این آسیب‌پذیری‌ تنها از طریق control plane بهره‌برداری کند نه از طریق data plane. اگر این آسیب‌پذیری مورد بهره‌برداری قرار بگیرد می‌تواند کل سیستم را به خطر بیندازد. بهره‌برداری از این نقص مستلزم آن است که مهاجم با شبکه هدف آشنا باشد و بتواند مدیری را که وارد سیستم شده است متقاعد کند تا از وب سایت مخربی که برای سوء استفاده طراحی شده است بازدید کند. اگر احراز هویت اولیه از طریق iControl SOAP  در مرورگر وب انجام شده باشد، نمی توان از این حمله جلوگیری کرد. این مکانیسم احراز هویت غیرمعمول است و با استفاده از صفحه ورود به سیستم برای ابزار Configuration متفاوت است.

دومین آسیب‌پذیری که شناسه "CVE-2022-41800" به آن اختصاص داده شده است، یک مهاجم با امتیازات administrative را قادر می‌سازد تا دستورات shell را از طریق فایل‌های مشخصات RPM اجرا کند. این مورد در حالت Appliance mode iControl REST وجود دارد و یک اجرای کد از راه دور از طریق تزریق مشخصات RPM است. یک کاربر احراز هویت شده با مجوزهای نقش Administrator می‌تواند محدودیت‌ها را در حالت Appliance دور بزند.

محصولات تحت تأثیر

محصولات BIG-IP و BIG-IQ را تحت تاثیر این آسیب‌پذیری‌ها قرار دارند.

توصیه‌های امنیتی

به توصیه شرکت F5، از احراز هویت اولیه در مرورگر وب استفاده نکنید. اگر popup احراز هویت در مرورگر را مشاهده کردید از وارد کردن اطلاعات ورود خود در آن اجتناب کنید.

این شرکت به کاربران توصیه می‌‌کند با محدود کردن دسترسی iControl REST تنها به شبکه یا دستگاه‌های قابل اعتماد، سطح تهدیدات ناشی از این آسیب‌پذیری را کاهش دهند.

منبع خبر

https://gbhackers.com/remote-code-execution-bug-in-f5/