[English]In F5 BIG-IP wurde vorige Woche die Sicherheitslücke CVE-2022-1388 öffentlich. Die Schwachstelle ermöglicht Angreifern die Befehlsausführung auf BIG-IP-Netzwerkgeräten als "root", ohne dass eine Authentifizierung erforderlich ist. Der Hersteller F5 hatte Administratoren der Netzwerkgeräte dringend empfohlen, diese kritisch Schwachstelle durch Updates zu schließen. Exploits sind auf Twitter und GitHub öffentlich geworden. Nun gibt es erste destruktive Angriffe, bei denen versucht wurde, das Dateisystem eines Geräts zu löschen und den Server unbrauchbar zu machen.
Anzeige
Die Schwachstelle CVE-2022-1388
Am 4. Mai 2022 veröffentlichte F5 den Hinweis K23605346: BIG-IP iControl REST vulnerability CVE-2022-1388 zur Schwachstelle in seinen BIG-IP-Systemen. Die Schwachstelle CVE-2022-1388 besitzt einen CVSSv3 Score von 9.8, ist also kritisch. Der Hersteller schreibt dazu, dass diese Schwachstelle es einem nicht authentifizierten Angreifer mit Netzwerkzugriff auf das BIG-IP-System über den Verwaltungsport und/oder eigene IP-Adressen ermöglicht, beliebige Systembefehle auszuführen, Dateien zu erstellen oder zu löschen oder Dienste zu deaktivieren.
Es besteht keine Gefährdung der Datenebene; dies ist nur ein Problem der Steuerungsebene (also der Netzwerkgeräte). Im verlinkten Supportbeitrag von F5 sind die betroffenen Geräte aufgelistet. Der Hersteller hat Updates bereitgestellt und beschreibt auch Maßnahmen, wie die Schwachstelle durch Zugriffsbeschränkungen auf iControl REST abgeschwächt werden kann. Von Palo Alto gibt es diese Beschreibung der Schwachstelle. Das SANS-Institut hat hier die Aufforderung veröffentlicht, die betreffenden F5-Geräte sofort zu patchen.
Exploits und Angriffe
Bereits kurz nach Veröffentlichung der Schwachstelle tauchten auf Twitter und GitHub Exploit von Sicherheitsforschern auf. Und auch Cyberkriminelle begannen sich mit dieser Schwachstelle zu befassen. Die Kollegen von Bleeping Computer haben das in diesem Artikel aufgegriffen. Diese Woche hat das SANS-Institut darauf hingewiesen, dass man zwei Angriffe von der IP-Adresse 177.54.127[.]111 gesehen habe, die den Befehl "rm -rf /*" auf dem betreffenden BIG-IP-Gerät ausführten.
Anzeige
Dieser Befehl versucht, alle Dateien im Linux-Dateisystem der BIG-IP-Geräte zu löschen. Die Kollegen von Bleeping Computer haben den Sachverhalt in diesem Beitrag aufgegriffen. In nachfolgendem Tweet bestätigt Sicherheitsforscher Kevin Beaumont diese Art des destruktiven Angriffs auf die BIG-IP-Geräte. Es ist also an der Zeit zu patchen, um die Schwachstelle zu schließen.
Anzeige
Zitat von der F5 Homepage: typisch Marketing …
"…die Leistung und die SICHERHEIT gewiss, die Sie zur Erfüllung geschäftlicher Anforderungen benötigen" …
… und die Realität:
"ermöglicht Angreifern die Befehlsausführung auf BIG-IP-Netzwerkgeräten als "root", ohne dass eine Authentifizierung erforderlich ist" :-(
!ohne Worte !
😂😂😂
von Menschen geschaffen passieren eben Fehler ( Es gibt keine Götter in weiß (Ärzte) und auch keine Götter am Keyboard), wer keine macht werfe den ersten Stein!
Entscheidend ist wie schnell da Sicherheitspatches verfügbar sind und die waren ja scheinbar schnell da! Wenn die dann von Admins nicht eingespielt werden ist das deren Schuld!
Nicht falsch verstehen ich bin ebenso Verfechter das auch in der IT die Produkthaftung sein sollte, aber wir sind alles nur Menschen! Wenn diese dann schnell reagieren ist doch OK!
Der Hersteller trägt ganz sicher Verantwortung, der Betreiber / User aber ebenso!
Etwas fragwürdige Einstellung(en):
"von Menschen geschaffen passieren eben Fehler ( Es gibt keine Götter in weiß (Ärzte) und auch keine Götter am Keyboard), wer keine macht werfe den ersten Stein!"
>> Die Frage ist allerdings, wie oft und in welchem Ausmaß diverse Fehler passieren. Wenn in der Ärzteschaft (aber z. B. auch in der Autoindustrie) so gearbeitet werden würde wie in der IT-Welt, dann hätten wir wahrscheinlich (sehr schnell) kein Bevölkerungszuwachsproblem (mehr)…
"Entscheidend ist wie schnell da Sicherheitspatches verfügbar sind und die waren ja scheinbar schnell da! Wenn die dann von Admins nicht eingespielt werden ist das deren Schuld!"
>> So, wie aktuell gerade beim Mai-Patchday von MS, nicht wahr? Sicherheitsupdates möglichst schnell (!) einspielen – Lücke gefixt – – – System tot, da Patch fehlerhaft …! Cool! Und wir reden hier nur vom geschäftlichen Bereich mit vorhandenem Admin(s). Dort geht solch ein Vorgehen sicherlich eher, als wie im Kleinbetrieb (eben ohne Admin) und Privatbereich. Gerade im Privatbereich wissen wir doch, wie sich dort bzgl. "Sicherheitsdingen" verhalten wird … Kein Mensch würde es als akzeptabel empfinden, morgens bevor er z. B. ins Auto steigt, zuerst auf der Homepage "seiner" Kfz-Marke nachzusehen, ob es heute mal wieder besonders gefährlich ist Auto zu fahren, da mal wieder ein Fehler z. B. an den Bremsen entdeckt wurde und es ratsam ist zuerst in die Werkstatt zu fahren … Aber in der IT wird GENAU DIES ständig erwartet und als normal hingenommen!
Keine Frage: Fehler passieren – immer und überall. Aber die Masse und die Auswirkungen derselben macht's! Und in diesem Bereich dürfte die IT-Welt inzwischen doch ziemlich weit vorne liegen. Verantwortung übernehmen, ja, auch der/die User müssen dies tun (z. B. sich im Straßenverkehr an die rechtlichen Regeln halten, alle 2 Jahre den HU-Termin einhalten …) aber der/die Hersteller haben als In-Verkehr-Bringer ihrer Produkte, zunächst die – als höher zu bewertende Schuld – für die grundlegende und vor allem möglichst dauerhafte Sicherheit zu sorgen. Und da hapert es wohl immer mehr an allen Ecken und Enden …
Interessant wäre es ob ein einspielen der aktuellen Firmware (per serial?) mit rücksicher der Config die Teile wieder zum laufen bringt oder ob die dann wirklich gebricked sind.
Die kann man ziemlich sicher per USB-Stick neuinstallieren. Ist z.B. bei Sophos auch nicht anderst. Bei Sophos hat der Stick allerdings einen blöden Bug und da muss man irgendeinen Workaround machen :)
Zyxel hat auch mal wieder Bugs geschlossen, ohne es in den Releasenotes zu dokumentieren…
Quellen: https://www.heise.de/news/Jetzt-patchen-Zyxel-Firewalls-als-Schlupfloch-in-Firmen-Netzwerke-7090269.html – CVE-2022-30525
In den Releasenotes findet sich aber kein Verweis auf diese CVE.
https://download.zyxel.com/ATP500/firmware/ATP500_5.30(ABFU.0)C0_2.pdf
Danke, hatte es auf dem Radar – siehe