Detecção CVE-2022-1388: Vulnerabilidade BIG-IP iControl REST

[post-views]
Maio 09, 2022 · 4 min de leitura
Detecção CVE-2022-1388: Vulnerabilidade BIG-IP iControl REST

F5 Networks, uma empresa que se especializa no desenvolvimento e distribuição de soluções de software e hardware, lançou um Aviso de Segurança em 4 de maio de 2022, abordando uma série de problemas em seus produtos. Logo após, a família de produtos BIG-IP foi alvo de múltiplas explorações em estado selvagem após a publicação pública de uma prova de conceito para uma nova falha crítica de RCE.

A vulnerabilidade crítica rastreada como CVE-2022-1388 reside em um iControl REST, permitindo que atacantes executem a execução remota de código (RCE) para sequestrar máquinas alvo.

Detectar CVE-2022-1388

Utilize as regras Sigma abaixo desenvolvidas pelos experientes especialistas da equipe SOC Prime para rastrear oportunamente as tentativas de exploração do CVE-2022-1388:

Possível Tentativa de Exploração do CVE-2022-1388 iControl REST do BIG-IP (via servidor web)

Possível Tentativa de Descoberta do CVE-2022-1388 iControl REST do BIG-IP (via servidor web)

As regras estão alinhadas com a última estrutura do MITRE ATT&CK® v.10, abordando a tática de Acesso Inicial com Exploração de Aplicativo Exposto à Internet (T1190) como técnica principal.

Se você é um pesquisador de segurança experiente ou um caçador profissional, o Programa de Recompensas de Ameaças da SOC Prime é uma oportunidade única para caçar ameaças dentro de 25+ tecnologias de SIEM, EDR e XDR suportadas, ganhando recompensas recorrentes. A vasta biblioteca de regras da SOC Prime possui mais de 155.000 detecções únicas, com mais de 140 novas detecções adicionadas a cada mês. Navegue pela biblioteca pressionando o botão Ver Detecções , ou envie suas regras Sigma ou YARA juntando-se ao Programa de Recompensas de Ameaças.

Ver Detecções Junte-se ao Programa de Recompensas de Ameaças

CVE-2022-1388: Análise e Mitigação do RCE do BIG-IP

Uma nova vulnerabilidade crítica no F5 BIG-IP está causando tumulto. Atribuída como CVE-2022-1388 com uma pontuação CVSS de 9.8, a vulnerabilidade permite que um hacker remoto contorne a autenticação do iControl REST e execute código arbitrário, gerencie dados e serviços em um dispositivo comprometido e se espalhe para outras máquinas. Pesquisadores especulam que as recomendações iniciais de mitigação do CVE-2022-1388 lançadas pela F5 em 4 de maio de 2022, não resolveram realmente a falha, mas guiaram os adversários para os pontos fracos dos produtos afetados. Esta falha de autenticação de bypass do iControl REST afeta ferramentas selecionadas da família de produtos BIG-IP. O problema de segurança é classificado como

Falta de Autenticação para Função Crítica . A partir de 9 de maio de 2022, a F5 já corrigiu o CVE-2022-1388, portanto, todos os usuários são instados a aplicar as atualizações lançadas. Como soluções alternativas adicionais contra a vulnerabilidade, é possível restringir o acesso à interface iControl REST por meio de endereços IP próprios, bem como aplicar modificações de segurança adicionais para a mitigação temporal deste problema crítico para dispositivos BIG-IP.

As of 9th May, 2022, F5 has already patched CVE-2022-1388, so all the users are urged to apply the released updates. As additional workarounds against the vulnerability, it is possible to restrict iControl REST interface access through self IP addresses as well as apply additional security modifications for temporal mitigation of this critical issue for BIG-IP devices.

No momento, a falha está sendo agressivamente explorada em estado selvagem, com mais provas de conceito surgindo online a cada dia. Os adversários geralmente instalam uma webshell para acessar e controlar o sistema violado e se mover lateralmente para outras máquinas. Todos os usuários dos produtos F5 afetados devem estar em alerta máximo.

Ansioso para descobrir novos conteúdos de detecção e aumentar suas práticas de caça às ameaças? Navegue por uma vasta biblioteca de conteúdos de detecção e cace instantaneamente as últimas ameaças em seu ambiente de SIEM ou XDR – inscreva-se gratuitamente. Ou junte-se ao Programa de Recompensas de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade de cibersegurança.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom 6 min de leitura Ameaças Mais Recentes Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom by Daryna Olyniychuk Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa 4 min de leitura Ameaças Mais Recentes Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa by Daryna Olyniychuk CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação 4 min de leitura Ameaças Mais Recentes CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação by Veronika Telychko
Todas as notícias