کارشناسان شرکت Rapid7 متوجه وجود چندین آسیبپذیری در نسخهای اختصاصی از CentOS که بر روی دستگاههای BIG-IQ و F5 BIG-IP نصب است، شدند. برخی از نقایص امنیتی شناسایی شده، از نظر F5 آسیبپذیری محسوب نمیشوند اما دو مورد از آنها در گروه آسیبپذیریهای شدید اجرای کد از راه دور قرار گرفته و یک شناسه CVE اختصاصی برایشان در نظر گرفته شده است. به تازگی F5 نیز یک توصیهنامه درباره این آسیبپذیریهای شدید منتشر کرده است.
آسیبپذیریهای شناسایی شده
آسیبپذیری اول با کد CVE-2022-41622، یک آسیبپذیری از نوع جعل درخواست میان وبگاهی (CSRF[1]) است و مهاجمان با استفاده از این آسیبپذیری میتوانند کارهای مهمی روی سیستم انجام دهند و از آن برای رسیدن به دسترسیهای روت از راه دور استفاده کنند؛ حتی اگر رابط کاربری مدیریت دستگاه در تماس با اینترنت نباشد. در مطلب منتشر شده توسط F5 اعلام شده: «ممکن است مهاجم، کاربرانی را که حداقل امتیاز مدیریت منابع را دارند و از طریق فرایند ساده iControl SOAP احراز هویت شدهاند، برای انجام کارهایی خاص فریب دهند. مهاجم فقط از طریق سطح کنترل میتواند از این آسیبپذیری استفاده کند نه از سطح دادهها. سوءاستفاده از این آسیبپذیری میتواند کل سیستم را دچار مخاطره کند».
در این گزارش اعلام شده که مهاجم باید برای استفاده از این آسیبپذیری با شبکه هدف آشنایی داشته و ادمین را متقاعد به کلیک روی لینک یک سایت مخرب کند که برای سوءاستفاده از این آسیبپذیری طراحی شده است. اگر در مرورگر و از طریق احراز هویت ساده وارد iControl SOAP شده باشید، امکان پیشگیری از این حمله وجود ندارد. این سازوکار احراز هویت رایج و پرکاربرد نیست و متفاوت از صفحه لاگین ابزار Configuration است. F5 توصیه کرده که از احراز هویت ساده برای ورود تحت مرورگرهای وب استفاده نشود. اگر پاپ – آپ احراز هویت در مرورگر وب نمایش داده شد، اطلاعات ورود به حسابتان را در آن وارد نکنید.
دومین آسیبپذیری با کد CVE-2022-41800، به مهاجمانی با دسترسی مدیریتی سطح بالا و ادمین امکان میدهد که از طریق فایلهای مشخصات RPM هر فرمان پوسته دلخواهی را روی دستگاه اجرا کنند. این آسیبپذیری در حالت Appliance iControl REST قرار دارد و یک نوع اجرای کد تصدیق شده از طریق تزریق مشخصات RPM است. هر کاربر احراز هویت شدهای با اعتبارنامه کاربری مناسب دارای نقش Administrator میتواند محدودیتهای حالت Appliance را دور بزند.
در مطلب F5 نوشته شده که ممکن است کاربر احراز هویت شدهای با اعتبارنامههای کاربری مناسب و نقش Administrator بتواند محدودیتهای حالت Appliance را دور بزند. این یک مشکل برای بخش کنترل محسوب میشود و آسیبپذیری لایه داده نیست. براساس گزارش F5: «حالت Appliance توسط یک گواهینامه خاص فعال میشود یا ممکن است برای هر مهمان در مدل چند پردازشی خوشهبندی شده مجازی، به صورت مجزا فعال یا غیرفعال شود». F5 برای این حالت راهکارهای موقتی را توصیه کرده که با ایجاد امکان دسترسی به iControl REST فقط برای دستگاهها و شبکههای قابل اعتماد، سطح تهدید را کاهش میدهد. مهاجم باید برای دسترسی به حسابی با سطح دسترسیهای بسیار بالا به اعتبارنامههای درست دسترسی داشته باشد. در نتیجه، با وجود محدود شدن دسترسی باز هم ممکن است دستگاه در برابر حرکت عرضی از یک دستگاه قابل اعتماد اما هک شده، آسیبپذیر باشد.
جزئیات فنی
CVE-2022-41622 یک CSRF است که برای اجرای آن باید کاربری با دسترسیهای ادمین که در رابط کاربری مدیریت F5 احراز هویت شده، به سایتی که تحت کنترل هکرها قرار دارد سر بزند. این سایت برای اجرای حمله از CSRF استفاده میکند. این آسیبپذیری در نقطه پایانی /iControl/iControlPortal.cgiSOAP قرار دارد که مجهز به سازوکارهای حفاظتی لازم برای مقابله با CSRF و SOAP نیست. iControlPortal.cgi یک اسکریپت CGI است که روی دستگاه به صورت روت اجرا شده در نتیجه ممکن است حتی با وجود ماژول امنیتی SELinux هم با دسترسیهای سطح بالا در سیستم اجرا شود.
CVE-2022-41800 مربوط به نقطه پایانی است که فقط در دسترس کاربران مدیر باشد و امکان ایجاد فایل مشخصات RPM را فراهم میکند تا بعداً یک نقطه پایانی مدیر دیگر از آن استفاده کند. این نقاط پایانی در برابر تزریق [کد] آسیبپذیر هستند در نتیجه مهاجم میتواند فرمانهای پوسته قابل اجرا را به فایل مشخصات RPM اضافه کند. این فرمانها در هنگام ایجاد فایل RPM حاصل اجرا میشوند. بنابراین کاربری که دسترسیهای ادمین را داشته باشد میتواند فرمانهای دلخواه را روی دستگاه اجرا کند.
محصولات تحت تأثیر این آسیبپذیری
محصولات زیر تحت تأثیر این آسیبپذیری قرار دارند:
- Big-IP (همه ماژولها): –17.0.0 –16.1.0 – 16.1.3 –15.1.0 – 15.1.8 –14.1.0 – 14.1.5 –13.1.0 – 13.1.5
- Big-IP SPK: همه
- مدیریت مرکزی BIG-IP: –8.0.0 – 8.2.0 –7.1.0
توصیهها
F5 این مشکل را با یک بهروزرسانی فوری رفع کرده که برای نسخههای پشتیبانی شده سیستم BIG-IP در دسترس است. توصیه میشود مشتریانی که تحت تأثیر این آسیبپذیری قرار دارند این بهروزرسانی را از بخش پشتیبانی F5 درخواست کنند. برای رفع این آسیبپذیری، پس از نصب بهروزرسانی مد نظر برای نسخههای BIG-IP ذکر شده در جدول قبل، احراز هویت ساده (Basic Authentication) را برای iControl SOAP غیرفعال کنید.
[1]cross-site request forgery – حملات اینترنتی که جزو خانواده تزریق اسکریپت از طریق وبگاه محسوب میشوند. در این حملات مهاجمان، کاربرانی که در نرمافزاری ثبتنام کردهاند را ملزم به ارسال درخواست به نرمافزار تحت وب میکنند. برای مثال قربانی ایمیلی دریافت میکند که در آن گفته شده باید حساب بانکیاش را بهروزرسانی کند. وی با کلیک روی لینک مخرب در ایمیل، ناخواسته یک درخواست انتقال وجه به نرمافزار بانک مدنظر ارسال میکند. در صورت عدم اعتبارسنجی درخواست توسط نرمافزار بانکی، مبلغ بسیار زیادی از حساب قربانی به هکر منتقل میشود.
منابع: support.f5 ، attackerkb، support.f5، gbhackers