F5 BIG-IP/BIG-IQ – exploity odpalone, urządzenia są przejmowane. Alert o CVE-2021-22986

O temacie pisaliśmy niedawno, a obecnie o aktywnej eksploitacji ostrzega grupa NCC:

We are now seeing full chain exploitation of F5 BIG-IP/BIG-IQ iControl REST API vulnerabilities CVE-2021-22986 – IoCs in the updated blog – we will share more has we have –https://t.co/gBoOND79Ll

— NCC Group Research & Technology (@NCCGroupInfosec) March 19, 2021

Opis podatności jest tutaj:

iControl REST unauthenticated remote command execution

Więcej technikaliów można z kolei znaleźć w tym miejscu. Tak np. wygląda udana próba eksploitacji:

Co ciekawe jednym z istotnych kroków (ominięcie uwierzytelnienia) odbywa się z wykorzystaniem podatności SSRF (Server-Side Request Forgery), o której opowiadaliśmy wiele razy na konferencjach w ostatnich kilku latach. Mamy też o niej kompleksowy rozdział w naszej książce.

Zawsze była ona nieco ignorowana (niedoceniana?), a teraz używana jest w z najpoważniejszych atakach (np. jest to istotna część całego cyklu podatności w Microsoft Exchange).

–ms