{"id":265302,"date":"2022-05-13T00:01:00","date_gmt":"2022-05-12T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265302"},"modified":"2022-05-12T23:31:21","modified_gmt":"2022-05-12T21:31:21","slug":"zerstrerische-angriffe-ber-kritische-f5-big-ip-schwachstelle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/13\/zerstrerische-angriffe-ber-kritische-f5-big-ip-schwachstelle\/","title":{"rendered":"Zerstörerische Angriffe über kritische F5 BIG-IP-Schwachstelle"},"content":{"rendered":"

\"Sicherheit[English<\/a>]In F5 BIG-IP wurde vorige Woche die Sicherheitsl\u00fccke CVE-2022-1388 \u00f6ffentlich. Die Schwachstelle erm\u00f6glicht Angreifern die Befehlsausf\u00fchrung auf BIG-IP-Netzwerkger\u00e4ten als \"root\", ohne dass eine Authentifizierung erforderlich ist. Der Hersteller F5 hatte Administratoren der Netzwerkger\u00e4te dringend empfohlen, diese kritisch Schwachstelle durch Updates zu schlie\u00dfen. Exploits sind auf Twitter und GitHub \u00f6ffentlich geworden. Nun gibt es erste destruktive Angriffe, bei denen versucht wurde, das Dateisystem eines Ger\u00e4ts zu l\u00f6schen und den Server unbrauchbar zu machen.<\/p>\n

<\/p>\n

Die Schwachstelle CVE-2022-1388<\/h2>\n

\"\"Am 4. Mai 2022 ver\u00f6ffentlichte F5 den Hinweis K23605346: BIG-IP iControl REST vulnerability CVE-2022-1388<\/a> zur Schwachstelle in seinen BIG-IP-Systemen. Die Schwachstelle CVE-2022-1388 besitzt einen CVSSv3 Score von 9.8, ist also kritisch. Der Hersteller schreibt dazu, dass diese Schwachstelle es einem nicht authentifizierten Angreifer mit Netzwerkzugriff auf das BIG-IP-System \u00fcber den Verwaltungsport und\/oder eigene IP-Adressen erm\u00f6glicht, beliebige Systembefehle auszuf\u00fchren, Dateien zu erstellen oder zu l\u00f6schen oder Dienste zu deaktivieren.<\/p>\n

Es besteht keine Gef\u00e4hrdung der Datenebene; dies ist nur ein Problem der Steuerungsebene (also der Netzwerkger\u00e4te). Im verlinkten Supportbeitrag von F5 sind die betroffenen Ger\u00e4te aufgelistet. Der Hersteller hat Updates bereitgestellt und beschreibt auch Ma\u00dfnahmen, wie die Schwachstelle durch Zugriffsbeschr\u00e4nkungen auf iControl REST abgeschw\u00e4cht werden kann. Von Palo Alto gibt es diese Beschreibung<\/a> der Schwachstelle. Das SANS-Institut hat hier<\/a> die Aufforderung ver\u00f6ffentlicht, die betreffenden F5-Ger\u00e4te sofort zu patchen.<\/p>\n

Exploits und Angriffe<\/h2>\n

Bereits kurz nach Ver\u00f6ffentlichung der Schwachstelle tauchten auf Twitter und GitHub Exploit von Sicherheitsforschern auf. Und auch Cyberkriminelle begannen sich mit dieser Schwachstelle zu befassen. Die Kollegen von Bleeping Computer haben das in diesem Artikel<\/a> aufgegriffen. Diese Woche hat das SANS-Institut darauf hingewiesen<\/a>, dass man zwei Angriffe von der IP-Adresse 177.54.127[.]111 gesehen habe, die den Befehl \"rm -rf \/*\" auf dem betreffenden BIG-IP-Ger\u00e4t ausf\u00fchrten.<\/p>\n

<\/a><\/p>\n

Dieser Befehl versucht, alle Dateien im Linux-Dateisystem der BIG-IP-Ger\u00e4te zu l\u00f6schen. Die Kollegen von Bleeping Computer haben den Sachverhalt in diesem Beitrag<\/a> aufgegriffen. In nachfolgendem Tweet best\u00e4tigt Sicherheitsforscher Kevin Beaumont diese Art des destruktiven Angriffs auf die BIG-IP-Ger\u00e4te. Es ist also an der Zeit zu patchen, um die Schwachstelle zu schlie\u00dfen.<\/p>\n

\"Critical<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In F5 BIG-IP wurde vorige Woche die Sicherheitsl\u00fccke CVE-2022-1388 \u00f6ffentlich. Die Schwachstelle erm\u00f6glicht Angreifern die Befehlsausf\u00fchrung auf BIG-IP-Netzwerkger\u00e4ten als \"root\", ohne dass eine Authentifizierung erforderlich ist. Der Hersteller F5 hatte Administratoren der Netzwerkger\u00e4te dringend empfohlen, diese kritisch Schwachstelle durch Updates … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-265302","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265302","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265302"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265302\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265302"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265302"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265302"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}