روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ عاملین تهدید شروع کرده‌اند به اکسپلویتِ باگی مهم در ماژول‌های ارائه‌دهنده‌ی سرویس اپ F5’s BIG-IP. در حقیقت آن‌ها بعد از اینکه این آسیب‌پذیری به طور عمومی در دسترس قرار گرفت دست به اکسپلویت آن زدند. در ادامه با ما همراه شوید تا شما را از چند و چون ماجرا باخبر سازیم.

این آسیب‌پذیری با عنوان CVE-2020-1388 رهگیری شده است و به مهاجمین اجازه می‌دهد تا فرمان‌های دلخواه سیستم را اجرا کرده، فایل‌هایی را ساخته یا حذف کرده و یا سرویس‌هایی را روی سیستم‌های BIG-IP خود غیرفعال نمایند. F5 هفته گذشته وقتی محققین آن را باگی مهم و حیاتی شناسایی کردند هشداری را صادر کرد. پچ‌ها و متودهای تخفیف اثر سوء این اکسپلویت که F5 ارائه داده است می‌توانند ماژول‌های آسیب‌پذیر BIG-IP iControl را که به مؤلفه‌ی احراز هویت REST[1] ربط دارند کاهش دهد. اگر آن‌ها بدون پچ باقی بمانند هکر می‌تواند از آن ضعف‌ها سوءاستفاده کرده و با مزایای روت سیستم دست به اجرای فرمان‌هایی بزنند. مدیر بخش تحقیق و توسعه شرکت امنیتی Randori به نام آرون پورتنوی در این باره می‌گوید، «این مسئله به مهاجمین اجازه می‌دهد تا به رابط مدیریتی دسترسی داشته باشند و به دلیل نقص در پیاده‌سازی احراز هویت خود را ادمین معرفی کنند. وقتی ادمین باشید می‌توانید با همه اندپوینت‌هایی که اپ ارائه می‌دهد از جمله کد اجرا تعامل داشته باشید».

به نقل از محقق امنیتی به نام جیکوب بینز، هزاران سیستم BIG-IP در فضای اینترنت در معرض خطر قرار دارند و مهاجمین می‌توانند از راه دور آن‌ها را اکسپویت کنند.

اکسپلویت پیوسته و فعال

محققین امنیتی اعلام کردند این آسیب‌پذیری دارد در محیط بیرون به صورت فعال اکسپویت می‌شود و عکس‌های مرتبط با کد اثبات اجرای آن تحت عنوان CVE-2020-1388 در فضای توییتر پخش شده است. این اکسپلویت‌ها اکنون به طور عمومی در دسترس هستند و محققین امنیتی هشدار دادند هکرها با ارسال دو فرمان و یک سری هدر می‌توانند از این آسیب‌پذیری نهایت استفاده را کرده اندپوینت اپ F5 را که Bash نام دارد (در فضای نت وجد دارد) هدف قرار داده و بدان دسترسی پیدا کنند. کارکرد این اندپوینت به صورتی است که یک رابط برای اجرای ورودی‌های ارائه شده توسط کاربر به عنوان یک دستور bash با امتیازات ریشه داده می‌شود.

محقق امنیتی مرکز Cronup به نام ژرمن فرناندز خاطرنشان کرد هکرها دارند وب‌شل‌های php را در /tmp/f5.sh دراپ کرده و آن‌ها را در /usr/local/www/xui/common/css/ نصب می‌کنند. حملات نشان می‌دهد عاملین تهدید دارند برای دراپ کردن این پی‌لود از آدرس‌های 216[.]162.206[.]213 و 209[.]127.252[.]207 استفاده می‌کنند. این پی‌لود بعد از نصب از سیستم اجرا شده و حذف خواهد شد. این اکسپویت همچنین می‌تواند وقتی هیچ پسوردی ارائه نشده هم کار کند (به نقل از ویل دورمن، تحلیلگر آسیب‌پذیری در CERT/CC). برخی از این اقدامات اکسپلویت شاید رابط مدیریتی را هدف نگیرد (به نقل از کوین بیومونت). اگر باکس F5 از طریق آی‌پی شخصی به عنوان تعدیل‌گر لود و دیوار آتشین تنظیم شود نیز باز آسیب‌پذیری خواهد بود.

سهولت این اکسپلویت و اصطلاح رایج اندپوینت آسیب‌پذیر bash  -که پوسته محبوب لینوکس است- شک و ظن را در میان محققان امنیتی ایجاد می‌کند، زیرا آنها معتقدند که به اشتباه به پست این محصول نخورده است. آسیب‌پذیری CVE-2022-1388 مطمئناً اشتباهی فاحش بوده است از سوی توسعه‌دهنده F5. موافقید؟ (این گفته‌ی محقق ویل دورمن است!).

توئیت جیک ویلیامز تحلیلگر آسیب‌پذیریی در CERT/CC: «هنوز کاملاً توجیه نشدم که این کد را توسعه‌دهنده برای جاسوسی سازمانی نکاشته است. این کار می‌تواند نوعی طرح تضمین درآمد باشد!».

پچ‌ها را سریعاً اعمال کنید

توصیه ما به ادمین‌ها این است که دستورالعمل‌ها را مو به مو عمل کنند و پچ‌های موجود را سریعاً نصب نمایند. همچنین توصیه می‌کنیم دسترسی به رابط مدیریتی را از اینترنت عمومی بردارید.

• تمام دسترسی‌ها را به رابط  iControl REST  ببندید.
• دسترسی  iControl REST  را محدود کنید.
• تنظیمات HTTPD بیگ‌آی‌پی را اصلاح کنید.

[1] representational state transfer

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.