CVE-2022-1388 탐지: BIG-IP iControl REST 취약점

소프트웨어 및 하드웨어 솔루션의 개발 및 배포를 전문으로 하는 F5 Networks는 2022년 5월 4일, 제품에서 발생하는 여러 문제를 다루는 보안 권고를 발표했습니다. 얼마 지나지 않아 BIG-IP 제품군은 새로운 치명적인 RCE 결함에 대한 공개적으로 배포된 개념 증명 이후 실제로 여러 번의 공격을 받았습니다.

CVE-2022-1388로 추적된 치명적인 취약점은 iControl REST에 위치하고 있으며, 공격자들이 원격 코드 실행(RCE)을 수행하여 타겟 머신을 하이재킹할 수 있게 합니다.

CVE-2022-1388 탐지

노련한 전문가들이 개발한 아래의 Sigma 규칙을 활용하여 SOC Prime 팀 에서 CVE-2022-1388 공격 시도를 적시에 추적하십시오:

가능한 BIG-IP iControl REST CVE-2022-1388 공격 시도 (웹 서버 통해)

가능한 BIG-IP iControl REST CVE-2022-1388 탐색 시도 (웹 서버 통해)

이 규칙들은 최신 MITRE ATT&CK® 프레임워크 v.10에 맞춰 있으며, 초기 접근 전술에서 공개된 응용프로그램 익스플로잇(T1190)을 주요 기법으로 처리하고 있습니다.

경험 많은 보안 연구자나 전문 사냥꾼이라면, SOC Prime의 위협 현상금 프로그램은 25개 이상의 지원되는 SIEM, EDR, XDR 기술 내에서 위협을 사냥할 수 있는 독특한 기회를 제공하며 재발하는 보상을 받습니다. SOC Prime의 방대한 규칙 라이브러리는 155,000개 이상의 고유 탐지를 보유하고 있으며 매달 140개 이상의 새로운 탐지가 추가됩니다. ‘보기 탐지’ 버튼을 눌러 라이브러리를 탐색하거나 위협 현상금 프로그램에 가입하여 Sigma 또는 YARA 규칙을 제출하세요. 보기 탐지 버튼을 누르거나, Sigma 또는 YARA 규칙을 제출하여 위협 현상금 프로그램에 가입하세요.

보기 탐지 위협 현상금 프로그램에 가입하기

CVE-2022-1388: BIG-IP RCE 분석 및 완화

F5 BIG-IP의 새로운 치명적인 취약점이 큰 파장을 일으키고 있습니다. CVE-2022-1388로 지정되어 9.8 CVSS 점수를 받은 이 취약점은 원격 해커가 iControl REST 인증을 우회하고 임의의 코드를 실행하여 손상된 장치에서 데이터 및 서비스를 관리하고 다른 머신으로 확산시킬 수 있게 합니다. 연구원들은 F5가 2022년 5월 4일 발표한 초기 CVE-2022-1388 완화 권장 이 결함을 실제로 해결하지 못했으며, 공격자들이 영향받은 제품의 약점을 찾도록 했다고 추측하고 있습니다.

이 iControl REST 인증 우회 결함은 BIG-IP 제품군의 일부 도구에 영향을 미칩니다. 이 보안 허점은 중요한 기능에 대한 인증 누락 문제로 분류됩니다.

2022년 5월 9일 현재 F5는 이미 CVE-2022-1388을 패치했으므로 모든 사용자는 릴리스된 업데이트를 적용해야 합니다. 취약점에 대한 추가적인 해결책으로, iControl REST 인터페이스 접근을 자체 IP 주소로 제한하고 이 치명적인 문제에 대한 일시적 완화를 위해 추가적인 보안 수정 사항을 적용할 수 있습니다.

현재, 이 결함은 적극적으로 실제로 악용되고있으며, 매일 더 많은 PoC가 온라인에 등장하고 있습니다. 공격자들은 주로 웹셸을 설치하여 침해된 시스템에 접근하고 제어하며 다른 머신으로 횡적 이동을 시도합니다. F5 제품의 사용자는 높은 경계를 유지해야 합니다. 높은 경계를 유지해야 합니다.

새로운 탐지 콘텐츠를 발견하고 위협 사냥 실력을 향상시키려는 열정이 있습니까? 광범위한 탐지 콘텐츠 라이브러리를 탐색하여 SIEM 또는 XDR 환경에서 즉시 최신 위협을 사냥하십시오 – 무료로 가입하세요. 또는 위협 현상금 프로그램에 참여하여 독자적인 콘텐츠를 제작하고 사이버 보안 커뮤니티와 공유하세요.