F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 が FIX：bash を狙ったバックドア展開が多発

Hackers exploiting critical F5 BIG-IP flaw to drop backdoors

2022/05/09 BleepingComputer — F5 BIG-IP の、すべてのモジュールの複数のバージョンに影響を与える、深刻な脆弱性の悪用に成功した攻撃者たちが、悪意のペイロードをドロップするという脅威が大量に発生し始めている。先週に F5 は、BIG-IP iControl の REST 認証コンポーネントに影響を及ぼす、脆弱性 CVE-2022-1388 (CVSS：9.8) に対するパッチをリリースした。

同社は、この脆弱性により、BIG-IP システム上の未認証の攻撃者に対して、任意のシステム・コマンド実行／ファイルの作成・削除／サービスの無効化などを許す可能があると警告している。現時点において、インターネット上には数千の BIG-IP システムが公開されているため、このエクスプロイトを悪用する攻撃者は、リモートから企業ネットワークに侵入することが可能となる。

昨日のこと、複数のセキュリティ研究者が、実行可能なエクスプロイトを作成したと発表し、最新のアップデートを直ちにインストールするよう、あらゆる管理者に対して警告を発した。そして、今日になり、エクスプロイトが公開されたが、その攻撃方法はというと、インターネットに公開されパッチが適用されていない bash エンド・ポイントへ向けて、２つのコマンドといくつかのヘッダーを送るだけというものだった。

現時点の Twitter は、CVE-2022-1388 の PoC エクスプロイト・コードで埋め尽くされており、このコードが Web シェルをドロップすることで、バックドアへの長時間のアクセスが野放しになっていると報告されている。

Cronup のセキュリティ研究者である Germán Fernández は、脅威アクターが PHP Web シェルを “/tmp/f5.sh” にドロップし、 “/usr/local/www/xui/common/css/” にインストールするのを観測している。そして、インストール後にはペイロードが実行され、その後にシステムから削除される。

Kevin Beaumont は、管理インターフェイスを標的としない攻撃においても、悪用の試みが見られると述べている。 彼は、「F5 システムが、セルフ IP を介したロードバランサーおよびファイアウォールとして、構成されている場合も脆弱であるため、それが厄介になる可能性がある」と述べている。ただし、他の研究者は、管理インターフェースを標的として、この脆弱性 CVE-2022-11388 が積極的に悪用されていることを確認している。

きわめて悪用が容易な脆弱性

この脆弱性の悪用は極めて容易であり、脆弱なエンドポイントが Linux シェルとして多用される bash であることも考えると、偶然に生じたインシデントという考え方に、疑問を投げかけるセキュリティ研究者もいるほどだ。

その一方で、Scythe の Executive Director of Cyber Threat Intelligence である Jake Williams は、この欠陥は開発者のミスの結果である可能性が高いと言う。CERT/CC の Vulnerability Analyst である Will Dormann も同じ感想を持ち、そうでなければもっと大きな問題になりかねないと危惧している。

すでに、この静寂性の悪用は、広く一般に共有されている。管理者たちに強く推奨されるのは、利用可能なパッチの早急なインストール／インターネットを経由する管理インターフェースへのアクセスの削除／F5 が提供する緩和策の適用となる。

• Block iControl REST access through the self IP address
• Block iControl REST access through the management interface
• Modify the BIG-IP httpd configuration

この脆弱性に対する、すべてのアップデートと緩和策の詳細情報を含む、F5 のアドバイザリはココ参照できる。

BIG-IP の管理者を支援するために、Randori の研究者たちは、インスタンス上で CVE-2022-1388 が悪用可能かどうかを判断する bash コードを公開している。

この F5 の脆弱性 CVE-2022-1388 ですが、5月4日の「F5 BIG-IP の RCE 脆弱性 CVE-2022-1388 が FIX：16,000台のデバイスに乗っ取りの可能性」で報じられているように、すでにパッチが提供されています。ただし、文中にもあるように悪用が簡単であり、また、大量の BIG-IP がインターネット上に露出していることで、バックドアの展開が進んでいる状況とのことです。このインシデントに関しては、続報がありそうです。