F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 が FIX:デバイスの消去も起こり得る

Critical F5 BIG-IP vulnerability exploited to wipe devices

2022/05/10 BleepingComputer — 先日に公開された F5 BIG-IP の脆弱性は、デバイスのファイル・システムを消去し、サーバを使用不能にするという、破壊的な攻撃に悪用されかねないものである。先週に F5 は、脆弱性 CVE-2022-1388 を公開し、リモート攻撃者が認証なしで BIG-IP ネットワーク・デバイス上で、root としてコマンドを実行できる問題を示した。このバグは極めて深刻であるため、F5 は管理者に対して、可能な限り早急にアップデートを適用するよう促している。

それから数日後には研究者たちが、Twitter や GitHub で悪用の方法を公開し始めたことで、脅威アクターたちは直ちにインターネット上での攻撃に、それらを悪用するようになった。大半の攻撃は、標的ネットワークへのイニシャル・アクセス用に Web シェルをドロップし、SSH キーを盗み出し、システム情報を列挙するものだ。

しかし、SANS Internet Storm Center は、BIG-IP デバイスを標的とする、より悪質な2つの攻撃方法を確認している。SANS のハニーポットでは、標的とされた BIG-IP デバイス上で、”rm -rf /*” コマンドを実行する、IPアドレス 177.54.127[.]111 からの2つの攻撃が確認されたと、BleepingComputer に語っている。

Tweet from SANS


このコマンドが実行されると、BIG-IP デバイスの Linux ファイル・システム上の、すべてのファイルが消去される。このような悪用の方法では、攻撃者は BIG-IP デバイスを動かす Linux オペレーティング・システムの root 権限が得られるため、”rm -rf /*” コマンドは、そのデバイスが正常に動作するために必要なコンフィグレーション・ファイルを含む、ほぼ全てのファイルを削除することができるようになる。

私たちが記事を掲載した後に、セキュリティ研究者である Kevin Beaumont は、デバイスが消去されていることを確認している。Beaumont は、「確認できた。現実世界のデバイスが消去され、Shodan 上の多くのデバイスが応答しなくなった」とツイートしている。不幸中の幸いだが、こうした破壊的な攻撃は広まっていないようだ。ほとんどの脅威アクターたちは、デバイスを破壊するよりも侵害することで、利益を得ようと考えているようだ。

サイバー・セキュリティ情報企業である Bad Packets と GreyNoise は、彼らのハニーポットでは破壊的な攻撃が確認されていないと、BleepingComputer に対して述べている。GreyNoise のリサーチャーである kimber は、この脆弱性の悪用による、Web シェルのドロップや、コンフィグの取得、デバイス管理者アカウントを作成するコマンドの実行などを、主に検知していると述べている。

SANS が確認した破壊的な攻撃は稀かもしれないが、このような攻撃が発生しているという事実は、管理者がデバイスを最新のパッチレベルに更新するために必要な、すべてのインセンティブとなるはずだ。

これらの破壊的な攻撃について、BleepingComputer が F5 に問い合わせたところ、されらも SANS と連絡を取り合っており、BIG-IP 管理インターフェイスをインターネットに公開しないよう、すべての管理者に対して強く助言していると述べていた。

同社のコメントは、「我々は SANS と連絡を取り、この問題を調査している。まだ、未パッチのユーザーは、BIG-IP の修正バージョンにアップデートするか、セキュリティ勧告に詳述されている緩和策の、いずれかを実施することを強く推奨する。BIG-IP の管理インターフェース (TMUI) を決してパブリックなインターネットには公開せず、アクセスを制限するための適切な制御が行われていることを確認してほしい」というものだ。

ただし Kevin Beaumont は、非管理ポートのデバイスが誤って設定されている場合にも、この攻撃の影響を受けていることを発見したとして、留意することが重要だと述べている。

Kevin Beaumont tweet

F5 は BleepingComputer に対して、BIG-IP デバイスへの攻撃の影響を受けた場合には、同社の Security Incident Response Team が24時間体制でサポートするとし、(888) 882-7535/(800) 11-275-435 への連絡、 または、オンラインでの連絡が可能だと述べている。

F5 BIG-IP の管理者は、対象デバイスが侵害済のケースも懸念するだろうが、Sandfly Security の創設者である Craig Rowland は、デバイスをチェックするためのテスト・ライセンスを提供している。

更新 5/10/22: Kevin Beaumont からの確認を追加した。

この F5 BIG-IP の脆弱性 CVE-2022-1388 ですが、これまでに、5月4日の「F5 BIG-IP の RCE 脆弱性 CVE-2022-1388 が FIX:16,000台のデバイスに乗っ取りの可能性」と、5月9日の「F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 が FIX:bash を狙ったバックドア展開が多発」を取り上てきました。そして、ついに攻撃が始まり、最悪の場合には、Linux ファイル・システムの消去まで起こり得ると述べられています。