CVE-2022-1388 検出：BIG-IP iControl REST 脆弱性

ソフトウェアとハードウェアソリューションの開発と配布を専門とする企業であるF5 Networksは、2022年5月4日にセキュリティアドバイザリを発表し、製品のいくつかの問題に対処しました。その後まもなく、BIG-IP製品ファミリが、新しい重大なRCEの脆弱性に関する公開された概念実証の後に、複数の野外での悪用によって攻撃を受けました。

CVE-2022-1388として追跡されるこの重大な脆弱性は、iControl RESTに存在し、攻撃者がリモートコード実行（RCE）を行い、ターゲットとしたマシンを乗っ取ることを可能にします。

CVE-2022-1388を検出

経験豊富な専門家によって開発された以下のSigmaルールを利用してください。 SOC Primeチーム CVE-2022-1388の悪用の試みをタイムリーに追跡するために：

BIG-IP iControl REST CVE-2022-1388の悪用試行の可能性（ウェブサーバー経由）

BIG-IP iControl REST CVE-2022-1388の探索試行の可能性（ウェブサーバー経由）

ルールは最新のMITRE ATT&CK®フレームワークv.10と一致しており、対公共アプリケーションの悪用（T1190）を主な技術とする初期アクセス戦術に対応しています。

あなたが経験豊富なセキュリティ研究者やプロフェッショナルハンターである場合、SOC PrimeのThreat Bountyプログラムは、25以上のサポートされているSIEM、EDR、およびXDR技術で脅威をハントし、報酬を得るユニークな機会です。SOC Primeの広範なルールライブラリには155,000以上のユニークな検出が含まれており、毎月140以上の新しい検出が追加されています。 ライブラリを見る ボタンをクリックするか、Threat Bounty Programに参加してSigmaまたはYARAルールを提出してください。

ライブラリを見る Threat Bountyに参加

CVE-2022-1388: BIG-IP RCEの分析と緩和

F5 BIG-IPにおける新たな重大な脆弱性が大きな問題を引き起こしています。CVE-2022-1388そして9.8のCVSSスコアが割り当てられたこの脆弱性は、リモートハッカーがiControl RESTの認証を回避し、任意のコードを実行して、侵害されたデバイスのデータおよびサービスを管理し、他のマシンに拡散することを可能にします。研究者たちは、初期のCVE-2022-1388 緩和策 が2022年5月4日にF5から公開されたが、実際に脆弱性を解決していないどころか、敵対者を影響を受けた製品の弱点に導いたと推測しています。

このiControl REST認証バイパスの脆弱性は、BIG-IP製品ファミリの選択されたツールに影響を及ぼします。このセキュリティホールは 重要な機能の認証欠如 問題に分類されます。

2022年5月9日現在、F5はすでにCVE-2022-1388を修正しており、すべてのユーザーは公開された更新を適用するよう求められています。この脆弱性への追加の回避策として、自己IPアドレスを通じてiControl RESTインターフェースアクセスを制限すること、およびこの重大な問題に対する一時的な緩和のために追加のセキュリティ修正を適用することが可能です。

現在、この脆弱性は積極的に 野外で悪用されており、毎日新たなPoCがオンラインで浮上しています。敵対者は主にWebシェルをインストールして侵害されたシステムにアクセスし、それを制御下に置き、他の機械に横方向移動することを狙っています。すべての 影響を受けたF5製品 のユーザーは高い警戒を怠らないようにしてください。

新しい検出コンテンツを発見し、脅威ハンティングの実践をレベルアップすることに意欲的ですか？広範な検出コンテンツライブラリを閲覧し、SIEMまたはXDR環境で最新の脅威を即座にハントしてください – 無料でサインアップするか、 Threat Bounty Program に参加して、独自のコンテンツを作成し、サイバーセキュリティコミュニティと共有してください。