CVE-2022-1388 Erkennung: BIG-IP iControl REST Sicherheitslücke
Inhaltsverzeichnis:
F5 Networks, ein Unternehmen, das sich auf die Entwicklung und den Vertrieb von Software- und Hardwarelösungen spezialisiert hat, hat am 4. Mai 2022 eine Sicherheitsempfehlung veröffentlicht, die eine Reihe von Problemen in ihren Produkten behandelt. Kurz darauf wurde die BIG-IP-Produktreihe nach der Veröffentlichung eines Proof-of-Concept für eine neue kritische RCE-Schwachstelle mehrfach in freier Wildbahn ausgenutzt.
Die kritische Schwachstelle, die als CVE-2022-1388 verfolgt wird, befindet sich in einem iControl REST und ermöglicht es Angreifern, eine Remote-Code-Ausführung (RCE) durchzuführen, um gezielte Maschinen zu kapern.
Erkennung von CVE-2022-1388
Nutzen Sie die untenstehenden Sigma-Regeln, die von den erfahrenen Experten des SOC Prime Teams entwickelt wurden, um Versuche von CVE-2022-1388-Exploits rechtzeitig zu verfolgen:
Möglicher BIG-IP iControl REST CVE-2022-1388 Ausnutzungsversuch (über Webserver)
Möglicher BIG-IP iControl REST CVE-2022-1388 Erkundungsversuch (über Webserver)
Die Regeln sind mit dem neuesten MITRE ATT&CK®-Framework v.10 abgestimmt und behandeln die Taktik des ersten Zugangs mit Exploit Public-Facing Application (T1190) als primäre Technik.
Wenn Sie ein erfahrener Sicherheitsforscher oder ein professioneller Jäger sind, ist das Threat Bounty Program von SOC Prime eine einzigartige Gelegenheit, Bedrohungen innerhalb von 25+ unterstützten SIEM-, EDR- und XDR-Technologien zu jagen und wiederkehrende Belohnungen zu verdienen. Die umfangreiche Bibliothek von SOC Prime enthält über 155.000 einzigartige Erkennungen, wobei jeden Monat über 140 neue Erkennungen hinzugefügt werden. Durchsuchen Sie die Bibliothek, indem Sie die Erkennungen anzeigen Taste drücken oder Ihre Sigma- oder YARA-Regeln einreichen, indem Sie dem Threat Bounty Program beitreten.
Erkennungen anzeigen Threat Bounty beitreten
CVE-2022-1388: BIG-IP RCE Analyse & Minderung
Eine neuartige kritische Schwachstelle in F5 BIG-IP sorgt für Aufsehen. Zu CVE-2022-1388 mit einem CVSS-Score von 9,8 zugewiesen, ermöglicht die Schwachstelle einem entfernten Hacker, die iControl REST-Authentifizierung zu umgehen und beliebigen Code auszuführen, Daten und Dienste auf einem kompromittierten Gerät zu verwalten und sich auf andere Maschinen auszubreiten. Forscher spekulieren, dass die anfänglichen CVE-2022-1388 Abmilderungsempfehlungen von F5 am 4. Mai 2022 veröffentlicht, das Problem nicht wirklich adressiert haben, sondern den Gegnern zu den Schwachstellen der betroffenen Produkte navigiert haben.
Dieser iControl REST-Authentifizierungs-Bypass-Fehler betrifft ausgewählte Tools der BIG-IP-Produktreihe. Das Sicherheitsloch wird als Fehlende Authentifizierung für kritische Funktionen Problem klassifiziert.
Seit dem 9. Mai 2022 hat F5 bereits CVE-2022-1388 gepatcht, daher werden alle Benutzer aufgefordert, die veröffentlichten Updates anzuwenden. Als zusätzliche Workarounds gegen die Schwachstelle ist es möglich, den Zugriff auf die iControl REST-Schnittstelle über eigene IP-Adressen einzuschränken sowie zusätzliche Sicherheitsänderungen für eine temporäre Minderung dieses kritischen Problems bei BIG-IP-Geräten anzuwenden.
Im Moment wird die Schwachstelle aggressiv in freier Wildbahn ausgenutzt, wobei jeden Tag mehr PoCs online auftauchen. Gegner installieren meistens eine Webshell, um auf das kompromittierte System zuzugreifen und es unter Kontrolle zu nehmen und sich seitlich auf andere Maschinen zu bewegen. Alle Benutzer der betroffenen F5-Produkte sollten äußerst wachsam sein.
Möchten Sie neue Erkennungsinhalte entdecken und Ihre Bedrohungsjagdpraktiken verbessern? Durchsuchen Sie eine umfangreiche Bibliothek mit Erkennungsinhalten und jagen Sie sofort nach den neuesten Bedrohungen in Ihrer SIEM- oder XDR-Umgebung – melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty Program bei, um Ihre eigenen Inhalte zu erstellen und mit der Cybersicherheits-Community zu teilen.
