Rilevamento CVE-2022-1388: Vulnerabilità di BIG-IP iControl REST

[post-views]
Maggio 09, 2022 · 4 min di lettura
Rilevamento CVE-2022-1388: Vulnerabilità di BIG-IP iControl REST

F5 Networks, un’azienda specializzata nello sviluppo e distribuzione di soluzioni software e hardware, ha rilasciato un Security Advisory il 4 maggio 2022, affrontando una serie di problemi nei loro prodotti. Poco dopo, la famiglia di prodotti BIG-IP è stata colpita da molteplici exploit in ambienti reali a seguito della pubblicazione pubblica della proof-of-concept per un nuovo difetto critico di RCE.

La vulnerabilità critica tracciata come CVE-2022-1388 risiede in un iControl REST, permettendo agli attaccanti di eseguire l’esecuzione di codice remoto (RCE) per compromettere le macchine target.

Rileva CVE-2022-1388

Utilizza le regole Sigma sottostanti sviluppate dagli esperti esperti del SOC Prime Team per tracciare tempestivamente i tentativi di exploit di CVE-2022-1388:

Possibile Tentativo di Exploit BIG-IP iControl REST CVE-2022-1388 (via webserver)

Possibile Tentativo di Scoperta BIG-IP iControl REST CVE-2022-1388 (via webserver)

Le regole sono allineate con il più recente quadro MITRE ATT&CK® v.10, trattando la tattica di Accesso Iniziale con Exploit Public-Facing Application (T1190) come tecnica principale.

Se sei un ricercatore di sicurezza esperto o un cacciatore professionista, il Threat Bounty Program di SOC Prime è un’opportunità unica per cacciare le minacce all’interno di oltre 25 tecnologie SIEM, EDR e XDR supportate, guadagnando premi ricorrenti. La vasta libreria di regole di SOC Prime ha oltre 155.000 rilevazioni uniche, con oltre 140 nuove rilevazioni aggiunte ogni mese. Sfoglia la libreria premendo il pulsante Visualizza Rilevazioni , o invia le tue regole Sigma o YARA unendoti al Threat Bounty Program.

Visualizza Rilevazioni Unisciti al Threat Bounty

CVE-2022-1388: Analisi e Mitigazione RCE BIG-IP

Una nuova vulnerabilità critica in F5 BIG-IP sta sollevando una tempesta. Assegnata come CVE-2022-1388 con un punteggio CVSS di 9.8, la vulnerabilità permette a un hacker remoto di bypassare l’autenticazione iControl REST ed eseguire codice arbitrario, gestire dati e servizi su un dispositivo compromesso, diffondendosi ad altre macchine. I ricercatori speculano che le raccomandazioni iniziali di mitigazione di CVE-2022-1388 rilasciate da F5 il 4 maggio 2022, non abbiano realmente affrontato il difetto ma abbiano guidato gli avversari verso i punti deboli dei prodotti interessati. Questo difetto di bypass dell’autenticazione iControl REST colpisce gli strumenti selezionati dalla famiglia di prodotti BIG-IP. Il buco di sicurezza è classificato come

Autenticazione Mancante per Funzione Critica problema. Al 9 maggio 2022, F5 ha già corretto CVE-2022-1388, quindi tutti gli utenti sono invitati ad applicare gli aggiornamenti rilasciati. Come ulteriori soluzioni alternative contro la vulnerabilità, è possibile limitare l’accesso all’interfaccia iControl REST tramite indirizzi IP propri, nonché applicare ulteriori modifiche alla sicurezza per una mitigazione temporanea di questo problema critico per i dispositivi BIG-IP.

As of 9th May, 2022, F5 has already patched CVE-2022-1388, so all the users are urged to apply the released updates. As additional workarounds against the vulnerability, it is possible to restrict iControl REST interface access through self IP addresses as well as apply additional security modifications for temporal mitigation of this critical issue for BIG-IP devices.

Al momento, il difetto è aggressivamente sfruttato in ambienti reali, con molti altri PoC che emergono online ogni giorno. Gli avversari vanno principalmente a installare una webshell per accedere e controllare il sistema violato e muoversi lateralmente verso altre macchine. Tutti gli utenti dei prodotti F5 interessati dovrebbero essere in massima allerta.

Desideroso di scoprire nuovi contenuti di rilevazione e migliorare le tue pratiche di caccia alle minacce? Sfoglia una vasta libreria di contenuti di rilevazione e caccia istantaneamente le ultime minacce nel tuo ambiente SIEM o XDR – iscriviti gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità della cybersecurity.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento CVE-2025-8088: WinRAR Zero-Day Viene Attivamente Sfruttato in Natura per Installare il Malware RomCom 6 min di lettura Ultime Minacce Rilevamento CVE-2025-8088: WinRAR Zero-Day Viene Attivamente Sfruttato in Natura per Installare il Malware RomCom by Daryna Olyniychuk Vulnerabilità CVE-2025-6558: Zero-Day di Google Chrome Sfruttato Attivamente 4 min di lettura Ultime Minacce Vulnerabilità CVE-2025-6558: Zero-Day di Google Chrome Sfruttato Attivamente by Daryna Olyniychuk CVE-2025-25257: Vulnerabilità critica di SQL injection in FortiWeb consente esecuzione di codice da remoto senza autenticazione 4 min di lettura Ultime Minacce CVE-2025-25257: Vulnerabilità critica di SQL injection in FortiWeb consente esecuzione di codice da remoto senza autenticazione by Veronika Telychko
Tutte le notizie