黑客正积极利用BIG-IP设备漏洞 配置错误引发危险等级9.8安全隐患

上周，F5 披露并修补了一个严重等级达到 9.8 / 10 分的 BIG-IP 漏洞。由于 iControl REST 身份验证配置错误，黑客可借此以 root 权限运行系统命令。据悉，iControl REST 是一组用于配置和管理 BIG-IP 设备的基于 Web 的编程接口，而 BIG-IP 则是该组织用于负载均衡、防火墙、以及检查和加密进出网络数据的一系列设备。

ArsTechnica 指出：BIG-IP 涵盖了超过 16000 个可在线发现的设备实例，且官方宣称有被财富 50 强中的 48 家所采用。

然而让 Randori 安全研究主管 Aaron Portnoy 感到震惊的是：

由于身份验证的设施方法存在缺陷，该问题竟使得能够访问管理界面的攻击者伪装系统管理员身份，之后便可与应用程序提供的所有端点进行交互、甚至执行任意代码。

鉴于 BIG-IP 靠近网络边缘、且作为管理 Web 服务器流量的设备功能，它们通常处于查看受 HTTPS 保护的流量 / 解密内容的有利位置。

过去一整天，Twitter 上流传的大量图片，揭示了黑客是如何积极在野外利用 CVE-2022-1388 漏洞，来访问名为 bash 的 F5 应用程序端点的。

其功能是提供一个接口，用于将用户提供的输入，作为具有 root 权限的 bash 命令来运行。更让人感到震惊的是，虽然不少概念验证（PoC）用到了密码，但也有一些案例甚至可在不提供密码的情况下运作。

对于如此重要的设备命令竟然被这样松散地处置，许多业内人士都感到大为不解，此外有报告提到攻击者可利用 webshell 后门来维持对 BIG-IP 设备的控制（即便修补后也是如此）。

在其中一个案例中，有 IP 地址为 216.162.206.213 和 209.127.252.207 的攻击者将有效载荷置入了 /tmp/f5.sh 的文件路径、从而在 /usr/local/www/xui/common/css/ 中部署基于 PHP 的 webshell 后门。

当然，这并不是安全研究人员被如此离谱严重的漏洞给惊到。比如不少人都提到，这种情况与两年前的 CVE-2020-5902 实在太过相似。

不过随着大家对于 CVE-2022-1388（RCE）漏洞的易得性、强大功能、以及广泛性有了更深入的了解，相关风险也正笼罩到更多人的头上。

如果你所在的组织机构正在使用 F5 的 BIG-IP 设备，还请着重检查并修补该漏洞、以减轻任何可能遇到的潜在风险。

有需要的话，可参考 Randori 热心提供的漏洞详情分析 / 单行 bash 脚本，并抽空详阅 F5 给出的其它建议与指导（KB23605346）。