安全供应商F5已经为影响其BIG-IP和BIG-IQ网络设备的两个漏洞准备了修补程序,这些漏洞可能导致远程代码执行(RCE)。包含补丁的软件更新也在针对这些漏洞的管道中,尽管可能造成严重后果,但漏洞利用存在重大障碍。F5已为最严重的缺陷分配了8.8的“高”严重性CVSS分数,但Rapid7表示这不是“放弃一切来修复”的情况。
该漏洞(CVE-2022-41622)使BIG-IP和BIG-IQ容易通过跨站点请求伪造(CSRF)遭受未经身份验证的RCE,因为Big-IP的SOAP API缺乏CSRF保护和其他典型的SOAP API防御,根据一篇博客Rapid7的首席安全研究员Ron Bowes于11月16日发表了这篇文章。
攻击“可以授予对设备管理界面的永久根访问权限”,即使该界面不面向互联网(如推荐的那样)。
然而,“这需要多种因素的共同作用才能真正被利用(具有活动会话的管理员需要访问恶意网站,而攻击者必须对目标网络有一定了解)”,Bowes说。
如果满足这些先决条件,不法分子就可以在经过身份验证的用户会话中针对API发出任意SOAP命令。
发现这些漏洞的Bowes说,“一些利用路径需要绕过SELinux”——他及时发现了这一点。
第二个问题,跟踪为CVE-2022-41800,意味着iControl REST容易受到通过RPM规范注入的RCE攻击。但是,Bowes认为风险“低”,因为iControl REST仅在设备模式下容易受到攻击,并且攻击者必须以管理员身份进行身份验证。
Bowes还发现了三个安全控制绕过“F5不考虑漏洞”,但仍然有“合理的攻击面”作为漏洞利用链的一部分。
他说F5已经解决了通过更新脚本中的命令注入引起的SELinux绕过问题,但拒绝分配CVE。
“我们不同意他们的评估,因为SELinux是一个安全边界,”Bowes说。
“我们通常认为这是一个风险非常低的漏洞,但由于我们将其用作漏洞利用链的一部分以将CVE-2022-41622转化为代码执行,我们认为它很重要。”
Bowes还发现了通过不正确的文件上下文绕过SELinux以及通过不适当的UNIX套接字权限提升本地权限。
F5说:"正如 Rapid7 所指出的,如果不首先使用未知或未发现的机制绕过现有的安全控制,就没有已知的方法来利用这些问题。我们不知道攻击者目前无法利用这些问题,因此不认为它们是漏洞,也没有发布 CVE。
F5 正在评估这些问题,作为深度防御方法的一部分,并将在未来的版本中解决这些问题。我们建议客户遵守安全最佳实践,以降低未来设计或威胁模型发生变化时的任何风险。"
F5补充说:“我们建议客户查看AskF5上的安全公告,以评估他们的风险并获取有关建议缓解措施的详细信息。工程修补程序可应要求提供,适用于这两个CVE,这些修补程序将尽快包含在未来的版本中。”
在披露时,F5显然不知道有任何主动利用这些漏洞。Rapid7认为“广泛利用”是“不太可能的”。
评论已关闭。