Krytyczna podatność w urządzeniach F5 – przez API REST można przejmować całe maszyny (CVE-2022-1388)

Gdyby ktoś miał wątpliwości czy bezpieczeństwo aplikacji webowych ma się coraz lepiej – tutaj macie odpowiedź: nie ma się lepiej ;-)

Opis podatności jest dość jednoznaczny:

This vulnerability may allow an unauthenticated attacker with network access to the BIG-IP system through the management port and/or self IP addresses to execute arbitrary system commands, create or delete files, or disable services. There is no data plane exposure; this is a control plane issue only.

Czyli jeśli nieopatrznie wystawimy do Internetu panel zarządczy urządzenia (a dokładniej API REST), to nieuwierzytelniony atakujący może wykonać dowolne polecenia w OS – czyli w skrócie przejąć urządzenie. Brakuje tylko informacji czy napastnik uzyskuje od razu uprawnienia root, czy mniejsze.

F5 nadało podatności CVE-2022-1388 „wycenę” 9.8/10 w skali CVSS – zatem nie zwlekajcie z łataniem…

~Michał Sajdak