یک آسیب‌پذیری شدید در محصولات F5 امکان هک کل سیستم‌ها را فراهم می‌کند

کارشناسان شرکت Rapid7 متوجه وجود چندین آسیب‌پذیری در نسخه‌ای اختصاصی از CentOS که بر روی دستگاه‌های BIG-IQ و F5 BIG-IP نصب است، شدند. برخی از نقایص امنیتی شناسایی شده، از نظر F5 آسیب‌پذیری محسوب نمی‌شوند اما دو مورد از آنها در گروه آسیب‌پذیری‌های شدید اجرای کد از راه دور قرار گرفته و یک شناسه CVE اختصاصی برای‌شان در نظر گرفته شده است. به تازگی F5 نیز یک توصیه‌نامه درباره این آسیب‌پذیری‌های شدید منتشر کرده است.

آسیب‌پذیری‌های شناسایی شده

آسیب‌پذیری اول با کد CVE-2022-41622، یک آسیب‌پذیری از نوع جعل درخواست میان وب‌گاهی (CSRF[1]) است و مهاجمان با استفاده از این آسیب‌پذیری می‌توانند کارهای مهمی روی سیستم انجام دهند و از آن برای رسیدن به دسترسی‌های روت از راه دور استفاده کنند؛ حتی اگر رابط کاربری مدیریت دستگاه در تماس با اینترنت نباشد. در مطلب منتشر شده توسط F5 اعلام شده: «ممکن است مهاجم، کاربرانی را که حداقل امتیاز مدیریت منابع را دارند و از طریق فرایند ساده iControl SOAP احراز هویت شده‌اند، برای انجام کارهایی خاص فریب دهند. مهاجم فقط از طریق سطح کنترل می‌تواند از این آسیب‌پذیری استفاده کند نه از سطح داده‌ها. سوءاستفاده از این آسیب‌پذیری می‌تواند کل سیستم را دچار مخاطره کند».

در این گزارش اعلام شده که مهاجم باید برای استفاده از این آسیب‌پذیری با شبکه هدف آشنایی داشته و ادمین را متقاعد به کلیک روی لینک یک سایت مخرب کند که برای سوءاستفاده از این آسیب‌پذیری طراحی شده است. اگر در مرورگر و از طریق احراز هویت ساده وارد iControl SOAP شده باشید، امکان پیشگیری از این حمله وجود ندارد. این سازوکار احراز هویت رایج و پرکاربرد نیست و متفاوت از صفحه لاگین ابزار Configuration است. F5 توصیه کرده که از احراز هویت ساده برای ورود تحت مرورگرهای وب استفاده نشود. اگر پاپ – آپ احراز هویت در مرورگر وب نمایش داده شد، اطلاعات ورود به حسابتان را در آن وارد نکنید.

دومین آسیب‌پذیری با کد CVE-2022-41800، به مهاجمانی با دسترسی مدیریتی سطح بالا و ادمین امکان می‌دهد که از طریق فایل‌های مشخصات RPM هر فرمان پوسته دلخواهی را روی دستگاه اجرا کنند. این آسیب‌پذیری در حالت Appliance iControl REST قرار دارد و یک نوع اجرای کد تصدیق شده از طریق تزریق مشخصات RPM است. هر کاربر احراز هویت شده‌ای با اعتبارنامه کاربری مناسب دارای نقش Administrator می‌تواند محدودیت‌های حالت Appliance را دور بزند.

در مطلب F5 نوشته شده که ممکن است کاربر احراز هویت شده‌ای با اعتبارنامه‌های کاربری مناسب و نقش Administrator بتواند محدودیت‌های حالت Appliance را دور بزند. این یک مشکل برای بخش کنترل محسوب می‌شود و آسیب‌پذیری لایه داده نیست. براساس گزارش F5: «حالت Appliance توسط یک گواهینامه خاص فعال می‌شود یا ممکن است برای هر مهمان در مدل چند پردازشی خوشه‌بندی شده مجازی، به صورت مجزا فعال یا غیرفعال شود». F5 برای این حالت راهکارهای موقتی را توصیه کرده که با ایجاد امکان دسترسی به iControl REST فقط برای دستگاه‌ها و شبکه‌های قابل اعتماد، سطح تهدید را کاهش می‌دهد. مهاجم باید برای دسترسی به حسابی با سطح دسترسی‌های بسیار بالا به اعتبارنامه‌های درست دسترسی داشته باشد. در نتیجه، با وجود محدود شدن دسترسی باز هم ممکن است دستگاه در برابر حرکت عرضی از یک دستگاه قابل اعتماد اما هک شده، آسیب‌پذیر باشد.

جزئیات فنی            

CVE-2022-41622 یک CSRF است که برای اجرای آن باید کاربری با دسترسی‌های ادمین که در رابط کاربری مدیریت F5 احراز هویت شده، به سایتی که تحت کنترل هکرها قرار دارد سر بزند. این سایت برای اجرای حمله از CSRF استفاده می‌کند. این آسیب‌پذیری در نقطه پایانی /iControl/iControlPortal.cgiSOAP قرار دارد که مجهز به سازوکارهای حفاظتی لازم برای مقابله با CSRF و SOAP نیست. iControlPortal.cgi یک اسکریپت CGI است که روی دستگاه به صورت روت اجرا شده در نتیجه ممکن است حتی با وجود ماژول امنیتی SELinux هم با دسترسی‌های سطح بالا در سیستم اجرا شود.

CVE-2022-41800 مربوط به نقطه پایانی است که فقط در دسترس کاربران مدیر باشد و امکان ایجاد فایل مشخصات RPM را فراهم می‌کند تا بعداً یک نقطه پایانی مدیر دیگر از آن استفاده کند. این نقاط پایانی در برابر تزریق [کد] آسیب‌پذیر هستند در نتیجه مهاجم می‌تواند فرمان‌های پوسته قابل اجرا را به فایل مشخصات RPM اضافه کند. این فرمان‌ها در هنگام ایجاد فایل RPM حاصل اجرا می‌شوند. بنابراین کاربری که دسترسی‌های ادمین را داشته باشد می‌تواند فرمان‌های دلخواه را روی دستگاه اجرا کند.

محصولات تحت تأثیر این آسیب‌پذیری

محصولات زیر تحت تأثیر این آسیب‌پذیری قرار دارند:

• Big-IP (همه ماژول‌ها): –17.0.0 –16.1.0 – 16.1.3 –15.1.0 – 15.1.8 –14.1.0 – 14.1.5 –13.1.0 – 13.1.5
• Big-IP SPK: همه
• مدیریت مرکزی BIG-IP: –8.0.0 – 8.2.0 –7.1.0

 توصیه‌ها

F5 این مشکل را با یک به‌روزرسانی فوری رفع کرده که برای نسخه‌های پشتیبانی شده سیستم BIG-IP در دسترس است. توصیه می‌شود مشتریانی که تحت تأثیر این آسیب‌پذیری قرار دارند این به‌روزرسانی را از بخش پشتیبانی F5 درخواست کنند. برای رفع این آسیب‌پذیری، پس از نصب به‌روزرسانی مد نظر برای نسخه‌های BIG-IP ذکر شده در جدول قبل، احراز هویت ساده (Basic Authentication) را برای iControl SOAP غیرفعال کنید.

[1]cross-site request forgery – حملات اینترنتی که جزو خانواده تزریق اسکریپت از طریق وبگاه محسوب می‌شوند. در این حملات مهاجمان، کاربرانی که در نرم‌افزاری ثبتنام کرده‌اند را ملزم به ارسال درخواست به نرم‌افزار تحت وب می‌کنند. برای مثال قربانی ایمیلی دریافت می‌کند که در آن گفته شده باید حساب بانکی‌اش را به‌روزرسانی کند. وی با کلیک روی لینک مخرب در ایمیل، ناخواسته یک درخواست انتقال وجه به نرم‌افزار بانک مدنظر ارسال می‌کند. در صورت عدم اعتبارسنجی درخواست توسط نرم‌افزار بانکی، مبلغ بسیار زیادی از حساب قربانی به هکر منتقل می‌شود.

منابع: support.f5 ، attackerkb، support.f5، gbhackers