هکرها پیوسته در حال اکسپلویت کردن باگ F5 BIG-IP هستند

21 اردیبهشت 1401 هکرها پیوسته در حال اکسپلویت کردن باگ F5 BIG-IP هستند

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ عاملین تهدید شروع کرده‌اند به اکسپلویتِ باگی مهم در ماژول‌های ارائه‌دهنده‌ی سرویس اپ F5’s BIG-IP. در حقیقت آن‌ها بعد از اینکه این آسیب‌پذیری به طور عمومی در دسترس قرار گرفت دست به اکسپلویت آن زدند. در ادامه با ما همراه شوید تا شما را از چند و چون ماجرا باخبر سازیم.

این آسیب‌پذیری با عنوان CVE-2020-1388 رهگیری شده است و به مهاجمین اجازه می‌دهد تا فرمان‌های دلخواه سیستم را اجرا کرده، فایل‌هایی را ساخته یا حذف کرده و یا سرویس‌هایی را روی سیستم‌های BIG-IP خود غیرفعال نمایند. F5 هفته گذشته وقتی محققین آن را باگی مهم و حیاتی شناسایی کردند هشداری را صادر کرد. پچ‌ها و متودهای تخفیف اثر سوء این اکسپلویت که F5 ارائه داده است می‌توانند ماژول‌های آسیب‌پذیر BIG-IP iControl را که به مؤلفه‌ی احراز هویت REST[1] ربط دارند کاهش دهد. اگر آن‌ها بدون پچ باقی بمانند هکر می‌تواند از آن ضعف‌ها سوءاستفاده کرده و با مزایای روت سیستم دست به اجرای فرمان‌هایی بزنند. مدیر بخش تحقیق و توسعه شرکت امنیتی Randori به نام آرون پورتنوی در این باره می‌گوید، «این مسئله به مهاجمین اجازه می‌دهد تا به رابط مدیریتی دسترسی داشته باشند و به دلیل نقص در پیاده‌سازی احراز هویت خود را ادمین معرفی کنند. وقتی ادمین باشید می‌توانید با همه اندپوینت‌هایی که اپ ارائه می‌دهد از جمله کد اجرا تعامل داشته باشید».

به نقل از محقق امنیتی به نام جیکوب بینز، هزاران سیستم BIG-IP در فضای اینترنت در معرض خطر قرار دارند و مهاجمین می‌توانند از راه دور آن‌ها را اکسپویت کنند.

اکسپلویت پیوسته و فعال

محققین امنیتی اعلام کردند این آسیب‌پذیری دارد در محیط بیرون به صورت فعال اکسپویت می‌شود و عکس‌های مرتبط با کد اثبات اجرای آن تحت عنوان CVE-2020-1388 در فضای توییتر پخش شده است. این اکسپلویت‌ها اکنون به طور عمومی در دسترس هستند و محققین امنیتی هشدار دادند هکرها با ارسال دو فرمان و یک سری هدر می‌توانند از این آسیب‌پذیری نهایت استفاده را کرده اندپوینت اپ F5 را که Bash نام دارد (در فضای نت وجد دارد) هدف قرار داده و بدان دسترسی پیدا کنند. کارکرد این اندپوینت به صورتی است که یک رابط برای اجرای ورودی‌های ارائه شده توسط کاربر به عنوان یک دستور bash با امتیازات ریشه داده می‌شود.

محقق امنیتی مرکز Cronup به نام ژرمن فرناندز خاطرنشان کرد هکرها دارند وب‌شل‌های php را در /tmp/f5.sh دراپ کرده و آن‌ها را در /usr/local/www/xui/common/css/ نصب می‌کنند. حملات نشان می‌دهد عاملین تهدید دارند برای دراپ کردن این پی‌لود از آدرس‌های 216[.]162.206[.]213 و 209[.]127.252[.]207 استفاده می‌کنند. این پی‌لود بعد از نصب از سیستم اجرا شده و حذف خواهد شد. این اکسپویت همچنین می‌تواند وقتی هیچ پسوردی ارائه نشده هم کار کند (به نقل از ویل دورمن، تحلیلگر آسیب‌پذیری در CERT/CC). برخی از این اقدامات اکسپلویت شاید رابط مدیریتی را هدف نگیرد (به نقل از کوین بیومونت). اگر باکس F5 از طریق آی‌پی شخصی به عنوان تعدیل‌گر لود و دیوار آتشین تنظیم شود نیز باز آسیب‌پذیری خواهد بود.

سهولت این اکسپلویت و اصطلاح رایج اندپوینت آسیب‌پذیر bash  -که پوسته محبوب لینوکس است- شک و ظن را در میان محققان امنیتی ایجاد می‌کند، زیرا آنها معتقدند که به اشتباه به پست این محصول نخورده است. آسیب‌پذیری CVE-2022-1388 مطمئناً اشتباهی فاحش بوده است از سوی توسعه‌دهنده F5. موافقید؟ (این گفته‌ی محقق ویل دورمن است!).

توئیت جیک ویلیامز تحلیلگر آسیب‌پذیریی در CERT/CC: «هنوز کاملاً توجیه نشدم که این کد را توسعه‌دهنده برای جاسوسی سازمانی نکاشته است. این کار می‌تواند نوعی طرح تضمین درآمد باشد!».

پچ‌ها را سریعاً اعمال کنید

توصیه ما به ادمین‌ها این است که دستورالعمل‌ها را مو به مو عمل کنند و پچ‌های موجود را سریعاً نصب نمایند. همچنین توصیه می‌کنیم دسترسی به رابط مدیریتی را از اینترنت عمومی بردارید.

  • تمام دسترسی‌ها را به رابط  iControl REST  ببندید.
  • دسترسی  iControl REST  را محدود کنید.
  • تنظیمات HTTPD بیگ‌آی‌پی را اصلاح کنید.

 

[1] representational state transfer

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    5,321,810 ریال10,643,620 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    1,772,810 ریال3,545,620 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    7,096,310 ریال14,192,620 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    5,320,120 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    5,320,120 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    7,094,620 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    12,776,400 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد