CVE-2021-22986, kimliği doğrulanmamış bir saldırganın (anonim kullanıcı haklarına sahip) uzak komutları yürütmesine izin veren BIG-IP (F5) iControl REST arabirimindeki bir güvenlik açığı olarak tespit edilmiştir. Bu güvenlik açığı, CVSS 9,8 derecelendirmesine sahip kritik bir güvenlik açığı olarak karşımıza gelmektedir. F5, aynı zamanda dünya genelinde en çok kullanılan WAF çözümlerinden bir tanesidir.
Bugüne kadarki en önemli zafiyetlerden biri olarak karşımıza gelen Unauthenticated Remote Code Execution zafiyeti için bir tespit aracı yayınlıyoruz. Kritik seviyedeki CVE-2021-22986 zafiyeti F5 firmasının BIG-IP ve BIG-IQ ürünlerindeki iControl REST servisinde bulunmakta ve yetkisiz bir saldırganın işletim sisteminde yüksek hak ve yetkide kod çalıştırmasına olanak sağlamaktadır. NCC Group firması yaptığı açıklamada güncellemelerin tersine mühendislik yöntemi kullanılarak zafiyet kodunun üretildiğini belirtti.
F5 BIG-IP Tespit Aracı
Aracımızı kullanarak hemen deneme yapabilir ve sisteminizin zafiyetli olup olmadığını kontrol edebilirsiniz.
Bu güvenlik açığı, BIG-IP yönetim arabirimi ve kendi kendine IP adresleri aracılığıyla iControl REST arabirimine ağ erişimi olan kimliği doğrulanmamış saldırganların rastgele sistem komutları yürütmesine, dosya oluşturmasına veya silmesine ve hizmetleri devre dışı bırakmasına olanak tanımaktadır. Bu güvenlik açığından yalnızca kontrol düzlemi aracılığıyla yararlanılabilir. Ancak veri düzlemi aracılığıyla yararlanılamaz. Suistimal, sistemin tamamen tehlikeye atılmasına neden olabilir. Bu noktada cihaz modundaki BIG-IP sistemi de savunmasız demektir.
Not : Sisteminizin tehlikede olduğuna inanıyorsanız, K11438344: Bir BIG-IP sisteminde güvenlik açığından şüphelendiğinizde dikkat edilecek noktalar ve kılavuza bakabilirsiniz. Privia Security olarak her türlü siber güvenlik danışmanlığı ihtiyaçlarınız için 7/24 destek vermekteyiz. Hizmetlerimiz hakkında detaylı bilgiye info@priviasecurity.com adresimizden ulaşabilirsiniz.
Sürümünüzün güvenlik açığından etkilenip bilinmediğini, bu güvenlik açığından etkilenen bileşenlerin veya özelliklerin olup olmadığını belirlemek için kurumlara özel olarak hazırladığımız F5 BIG IP Tarama ve Tespit Aracını kullanabilirsiniz. Bu araç ip adresi, user-agent gibi hiçbir bilgiyi kayıt altında tutmamaktadır.
F5 BIG-IP Tespit Aracı Hakkında
Zafiyet daha derin incelendiğin de iControl REST servisinin “/mgmt/tm/util/bash” uç noktasına ulaşabilen bir saldırganın sistemde istediği kodu çalıştırabildiği görülmüştür. Sizler için hazırladığımız zafiyet test aracını kullanarak sisteminizin zafiyetli olup olmadığını kontrol edebilirsiniz. Aracımız, sisteminizin “/mgmt/tm/util/bash” uç noktasına erişip sırasıyla “id” ve “uname -a” komutlarını çalıştırmayı dener ve sisteminizi zafiyetli olup olmadığından emin olur. Zafiyetli sürümler ve zafiyetin kapatıldığı sürümler yukarıdaki tabloda gösterilmiştir. Yine de bulunan son sürüme yükselteme yapmanızı tavsiye ederiz.
Author: Berat Özbay