F5 Inc, nota azienda tecnologica che si occupa di application security, multicloud management e molto altro e che produce anche hardware di rete, è stata in questi giorni interessata da una vulnerabilità che colpisce la famiglia di prodotti BIG-IP. Si tratta di apparati di rete come firewall, load balancers, encryption gateways, deep packet inspectors e simili, che attualmente compongono una solida parte del perimetro di sicurezza di svariate aziende.
F5 dichiara di avere una userbase consistente tra le aziende di alto fatturato, pertanto non è difficile comprendere il perchè una vulnerabilità che la interessi abbia colto l’attenzione di tutte le maggiori testate online. La vulnerabilità, ora catalogata come CVE-2022-1388, ha severità 9,8 nel momento in cui scriviamo e consentiva di eseguire comandi da remoto, inclusa la manipolazione di file e servizi.
Stiamo parlando di una vulnerabilità tra le peggiori, ovvero una unauthenticated remote execution, ottenibile tramite l’endpoint /mgmt/tm/util/bash, causata da un’implementazione imperfetta dell’autenticazione all’API iControl REST, difetto a causa della quale si poteva fare privilege escalation per impersonare l’utente admin anche con una password vuota.
Un’elenco delle versioni affette e delle possibili mitigazioni è attualmente presente sulla pagina di supporto di F5. E’ bene notare che, pur assicurandosi di essere a una versione del software non più affetta dal bug, ciò non sarebbe sufficiente se la nostra infrastruttura fosse già stata compromessa e, dal momento che non è possibile stabilirlo con sicurezza, sarà anche necessario svolgere le dovute e non semplici indagini per assicurarsi di non avere già del malware o altri attori malevoli dentro la propria infrastruttura.
Buon update!
Tags: big-ip, Exploit, F5, Network, Remote Code Execution, Vulnerabilità
English (US)