کارشناسان شرکت Rapid7 متوجه چندین آسیبپذیری در نسخه ویژه CentOS نصب شده بر روی دستگاههای BIG-IQ و F5 BIG-IP شدند. برخی از آسیبپذیریهای شناساییشده آسیبپذیری F5 در نظر گرفته نمیشوند، اما دو مورد از آنها به عنوان آسیبپذیریهای جدی اجرای کد از راه دور طبقهبندی میشوند و یک شناسه CVE خاص اختصاص داده میشوند.
آسیب پذیری های شناسایی شده
اولین آسیب پذیری حیاتی شناسایی شده CVE-2022-41622 است که یک آسیب پذیری اجرای کد جعل درخواست از راه دور بین سایتی است که بر محصولات BIG-IP و BIG-IQ تأثیر می گذارد. در این حالت، حتی اگر رابط کاربری مدیریت دستگاه با اینترنت در تماس نباشد، مهاجمان همچنان می توانند از این آسیب پذیری برای دستیابی به دسترسی ریشه از راه دور استفاده کنند.
در مقالهای که توسط F5 منتشر شده است، آمده است: «یک مهاجم میتواند کاربرانی را که حداقل دارای امتیازات مدیریت منابع هستند و از طریق یک فرآیند ساده iControl SOAP احراز هویت شدهاند، فریب دهد تا کارهای خاصی را انجام دهند. یک مهاجم فقط می تواند از طریق صفحه کنترل از این آسیب پذیری سوء استفاده کند، نه از طریق صفحه داده. بهره برداری از این آسیب پذیری می تواند کل سیستم را در معرض خطر قرار دهد.”
این گزارش بیان میکند که برای سوء استفاده از این آسیبپذیری، یک مهاجم باید با شبکه هدف آشنا باشد و مدیر را متقاعد کند که روی پیوندی در یک سایت مخرب که برای سوء استفاده از این آسیبپذیری طراحی شده است، کلیک کند. اگر iControl SOAP را در مرورگر و از طریق احراز هویت ساده وارد کرده باشید، امکان جلوگیری از این حمله وجود ندارد. این مکانیزم احراز هویت رایج و پرکاربرد نیست و با استفاده از صفحه ورود ابزار پیکربندی متفاوت است. F5 توصیه می کند از احراز هویت ساده برای ورود به مرورگرهای وب خودداری کنید. اگر پاپ آپ احراز هویت در مرورگر وب ظاهر شد، جزئیات ورود خود را وارد نکنید.
آسیبپذیری دوم (CVE-2022-41800) به مهاجمان با امتیازات مدیریتی اجازه میدهد تا دستورات پوسته دلخواه را از طریق فایلهای مشخصات RPM اجرا کنند. این آسیب پذیری در حالت REST در Appliance iControl قرار دارد و نوعی اجرای کد احراز هویت شده از طریق تزریق مشخصات RPM است. هر کاربر احراز هویت شده با اعتبار کاربری نقش سرپرست مناسب میتواند محدودیتهای حالت دستگاه را دور بزند.
مقاله F5 بیان میکند که یک کاربر احراز هویت شده با اعتبار کاربری مناسب و نقش مدیر ممکن است بتواند محدودیتهای حالت دستگاه را دور بزند. این یک مشکل بخش کنترل در نظر گرفته می شود، نه یک آسیب پذیری لایه داده.
طبق گزارش F5: «حالت دستگاه توسط یک گواهی خاص فعال میشود یا میتواند بهصورت جداگانه برای هر مهمان در یک مدل چند پردازندهای خوشهای مجازی فعال یا غیرفعال شود.» F5 راهحلهایی را برای این وضعیت توصیه میکند که سطح تهدید را با دسترسی به iControl REST فقط در دسترس قرار دهد. برای دستگاه ها و شبکه های قابل اعتماد
یک مهاجم باید به اعتبارنامه های صحیح دسترسی داشته باشد تا بتواند به یک حساب کاربری بسیار دارای امتیاز دسترسی داشته باشد. در نتیجه، علیرغم دسترسی محدود، ممکن است دستگاه همچنان در برابر حرکت جانبی یک دستگاه قابل اعتماد اما هک شده آسیب پذیر باشد.
منبع: gbhackers