REST CVE-2022-1388: F5 BIG-IP iControl の アクティブなエクスプロイト

この脆弱性は、17.0.0より前のBIG-IPの複数の異なるバージョンに影響を及ぼします。

• F5 BIG-IP 16.1.0 - 16.1.2 (16.1.2.2 でパッチ適用済み)
• F5 BIG-IP 15.1.0 - 15.1.5 (15.1.5.1 でパッチ適用済み)
• F5 BIG-IP 14.1.0 - 14.1.4 (14.1.4.6 でパッチ適用済み)
• F5 BIG-IP 13.1.0 - 13.1.4 (13.1.5でパッチ適用済み)
• F5 BIG-IP 12.1.0 - 12.1.6 (パッチはありません、修正されません)
• F5 BIG-IP 11.6.1 - 11.6.5 (パッチはありません、修正されません)

2022年5月9日（月）、Horizon3は完全な概念実証を公開し、我々はこれを実行してroot shellを取得することに成功しました。他のグループも同様にエクスプロイトを開発しています。

ここ数日、BinaryEdgeは、F5 BIG-IPのスキャンと悪用が増加していることを検知しました。また、Twitter上では、悪用の試みも確認されています。この脆弱性の悪用が容易であること、悪用コードが公開されていること、ルートアクセスを提供していることから、悪用の試みは増加すると思われます。

しかし、インターネットに接続されているF5 BIG-IPデバイスの数が少ないため、広範な悪用はいくらか緩和されています。ただし、我々の最善の推測では、インターネット上には約2,500台のターゲットしか存在しません。

緩和に向けたガイダンス

F5 のお客様は、F5 のアップグレード手順を使用して、できるだけ早く BIG-IP デバイスにパッチを適用する必要があります。さらに、F5 BIG-IP デバイス（および類似のアプライアンス）の管理ポートをネットワーク レベルで厳密に制御し、許可されたユーザのみが管理インターフェイスにアクセスできるようにする必要があります。

また、F5 は勧告の一部として回避策を提供しています。パッチ適用やネットワークセグメンテーションが不可能な場合、この回避策により悪用されることを防ぐことができます。私たちは、回避策のみに頼るのではなく、常にパッチを適用することをお勧めします。

エクスプロイトの試みは、少なくとも2つの異なるログファイルに表示されます。

• /var/log/audit
• /var/log/restjavad-audit.0.log

この脆弱性はルート侵害であるため、悪用に成功すると、回復が非常に困難になる可能性があります。最低でも、影響を受ける BIG-IP デバイスをゼロから再構築し、証明書とパスワードをローテーションする必要があります。

Rapid7のお客様

InsightVMとNexposeのお客様は、2022年5月5日のコンテンツリリースに含まれる認証済み脆弱性チェックで、CVE-2022-1388への曝露を評価することができます。このリリースには、F5の2022年5月のセキュリティアドバイザリにある追加のCVEに対する認証済み脆弱性チェックも含まれています。

参考資料：

• VMware Workspace ONE Accessの広範な悪用 CVE-2022-22954
• WSO2 CVE-2022-29464 の機会的な搾取について
• Spring4Shell。Spring Frameworkにおけるゼロデイ脆弱性 (CVE-2022-22965)
• CVE-2022-0847:Linux カーネルにおける任意のファイル上書き脆弱性

本ブログは英語ブログ、"Active Exploitation of F5 BIT-IP iControl REST CVE-2022-1388" の機械翻訳に基づいています。