Detección de CVE-2022-1388: Vulnerabilidad en BIG-IP iControl REST
Tabla de contenidos:
F5 Networks, una empresa que se especializa en el desarrollo y distribución de soluciones de software y hardware, lanzó un Aviso de Seguridad el 4 de mayo de 2022, abordando varios problemas en sus productos. Poco después, la familia de productos BIG-IP fue atacada con múltiples explotaciones en el entorno tras la publicación pública de una prueba de concepto para una nueva falla crítica de RCE.
La vulnerabilidad crítica rastreada como CVE-2022-1388 reside en un iControl REST, permitiendo a los atacantes realizar ejecución remota de código (RCE) para secuestrar máquinas objetivo.
Detectar CVE-2022-1388
Utiliza las reglas Sigma a continuación desarrolladas por los expertos experimentados del Equipo de SOC Prime para rastrear oportunamente los intentos de explotación de CVE-2022-1388:
Posible Intento de Explotación de BIG-IP iControl REST CVE-2022-1388 (vía servidor web)
Posible Intento de Descubrimiento de BIG-IP iControl REST CVE-2022-1388 (vía servidor web)
Las reglas están alineadas con el marco MITRE ATT&CK® más reciente v.10, abordando la táctica de Acceso Inicial con Explotación de Aplicación de Cara Pública (T1190) como la técnica principal.
Si eres un investigador de seguridad experimentado o un cazador profesional, el Programa de Amenazas Recompensadas de SOC Prime es una oportunidad única para cazar amenazas dentro de más de 25 tecnologías SIEM, EDR y XDR compatibles, ganando recompensas recurrentes. La vasta biblioteca de reglas de SOC Prime tiene más de 155,000 detecciones únicas, con más de 140 nuevas detecciones añadidas cada mes. Navega por la biblioteca presionando el botón Ver Detecciones , o envía tus reglas Sigma o YARA uniéndote al Programa de Amenazas Recompensadas.
Ver Detecciones Unirse a Amenazas Recompensadas
CVE-2022-1388: Análisis y Mitigación de RCE en BIG-IP
Una nueva vulnerabilidad crítica en F5 BIG-IP está causando revuelo. Asignada como CVE-2022-1388 con un puntaje CVSS de 9.8, la vulnerabilidad permite a un hacker remoto eludir la autenticación de iControl REST y ejecutar código arbitrario, gestionar datos y servicios en un dispositivo comprometido, extendiéndose a otras máquinas. Los investigadores especulan que las recomendaciones de mitigación iniciales para CVE-2022-1388 publicadas por F5 el 4 de mayo de 2022, realmente no han abordado el fallo, sino que han guiado a los adversarios hacia los puntos débiles de los productos afectados. released by F5 on May 4, 2022, have not really addressed the flaw but navigated adversaries to the weak spots of affected products.
Esta falla de omisión de autenticación de iControl REST afecta a herramientas seleccionadas de la familia de productos BIG-IP. El agujero de seguridad se clasifica como Falta de Autenticación para Función Crítica problema.
A partir del 9 de mayo de 2022, F5 ya ha parcheado el CVE-2022-1388, por lo que se insta a todos los usuarios a aplicar las actualizaciones liberadas. Como trabajos adicionales contra la vulnerabilidad, es posible restringir el acceso a la interfaz iControl REST a través de direcciones IP propias, así como aplicar modificaciones de seguridad adicionales para una mitigación temporal de este problema crítico para los dispositivos BIG-IP.
Por el momento, la falla está siendo explotada agresivamente en la naturaleza, con más POCs emergiendo en línea cada día. Los adversarios suelen instalar un webshell para acceder y tomar el control del sistema violado y moverse lateralmente a otras máquinas. Todos los usuarios de los productos afectados de F5 deberían estar en máxima alerta.
¿Deseas descubrir nuevo contenido de detección y mejorar tus prácticas de caza de amenazas? Explora una vasta biblioteca de contenido de detección e inmediatamente busca las últimas amenazas en tu entorno SIEM o XDR – regístrate gratis. O únete al Programa de Amenazas Recompensadas para crear tu propio contenido y compartirlo con la comunidad de ciberseguridad.
