Rapid7披露更多F5 BIG-IP漏洞

Rapid7的研究人員在F5產品中發現了5個新的漏洞和風險，在過去幾年中，這些漏洞和風險一直是攻擊者的熱門目標。

在周三的一篇博客文章中，作者詳細介紹了影響F5 BIG-IP和BIG-IQ設備的相對低嚴重性的漏洞和繞過攻擊。該文章提供緩解步驟和披露時間表，該時間表指出Rapid7研究員Ron Bowes最初在7月發現了這些問題，并于8月私下向F5披露。隨后，F5將其中兩項發現歸類為漏洞，并標記為CVE-2022-41622（跨站點請求偽造CSRF漏洞）和CVE-2022-41800（使 iControl REST 容易受到經過身份驗證的遠程代碼執行的攻擊）。

雖然Rapid7表示這些漏洞不太可能被廣泛利用，但眾所周知，F5產品包含關鍵漏洞并吸引威脅行為者。

在5月，研究人員發現對F5 BIG-IP網絡設備中關鍵遠程代碼漏洞（標記為 CVE-2022-1388）的有效利用，這使得政府發出警報。此外，Rapid7的“2021年漏洞情報報告”包括很多被認為是廣泛威脅的F5產品實例。該報告將VPN、防火墻和網關稱為“精明攻擊者和低技能攻擊者的高價值網絡攻擊機會”。

根據該博客文章稱，周三披露的最關鍵漏洞是CVE-2022-41622，因為攻擊者可以獲得“對設備管理界面的持久根訪問權限（即使管理界面不是面向互聯網）”。

面向互聯網的功能使F5產品成為攻擊者的熱門目標，根據Rapid7研究總監Tod Beardsley的說法，這些設備總會接觸到互聯網，因為這就是它的設計目的。

他指出：“在過去的幾年里，我們已經看到這些成為攻擊者感興趣的最喜歡的設備類別，比如VPN集中器和防火墻，只要攻擊者成功攻擊這些設備，就可長時間潛伏在網絡中。”

披露流程問題

雖然Rapid7對F5在處理和解決問題方面的工作表示贊賞，但這些研究人員不認同該供應商對本地權限提升和SELinux安全控制繞過的嚴重性的評定。

該博客文章寫道：“Rapid7還發現了幾個安全控制繞過，F5不考慮具有合理攻擊面的漏洞。”

Beardsley感到驚訝的是，F5 將 CVE-2022-41800 歸類為漏洞，而其他需要管理員登錄才能利用的漏洞沒有被分配CVE。F5發言人告訴TechTarget Editor，他們做出這一決定是因為“沒有已知的方法來利用這些漏洞，除非首先使用未知或未發現的機制繞過安全控制。”

F5發言人在給TechTarget Editorial的電子郵件中說：“我們知道攻擊者目前無法利用這些問題，因此不認為它們是漏洞，也沒有發布CVE。”

Beardsley強調的一個問題是，特權攻擊者可以使用繞過來獲得進一步的控制。

Rapid7 和 F5 都考慮的是繞過問題，而不是漏洞。然而，主要的分歧集中在攻擊者如何使用漏洞和繞過上。Rapid7從研究人員的角度看待合理攻擊面，他說這幾乎總是與攻擊者的角度相同。例如，可能超出滲透測試人員范圍的攻擊面可能不適用于攻擊者。

當被問及 F5 如何定義合理攻擊面時，一位發言人告訴 TechTarget Editor，他們定義的漏洞是 “F5產品的缺陷，這影響 F5 產品或存儲在產品上的信息的機密性、完整性或可用性”。該發言人還表示，他們的改進旨在“堅持最佳安全實踐，以降低未來設計或威脅模型發生變化時的任何風險。”

Bowes具有滲透測試背景，在確定威脅級別時他強調背景信息的重要性。

Bowes 稱：“CSRF漏洞可能允許攻擊者將任意文件寫入文件系統，但SELinux阻止我這樣做-但后來我發現SELinux繞過，這讓我可以利用這個漏洞。我們繞過了本應將我們拒之門外的安全控制措施。”

使用SELinux創建管理員控件等邊界的情況很少見，Beardsley說他很高興看到 F5 使用它。他和Bowes也認同F5的觀點，即很多披露的漏洞和繞過構成的威脅很低，因為它們需要額外的因素來利用。

該博客文章寫道：“大多數其余的漏洞的影響都相對較小，要求攻擊者已經對目標設備具有一定程度的訪問權限。它們更有可能被用作漏洞利用鏈的一部分，以加劇更嚴重的漏洞。”

此外，Beardsley表示，企業可以通過基本的緩解措施避免所有缺陷。例如，他說，最關鍵的披露漏洞CVE-2022-41622可以通過在管理F5設備時不瀏覽開源軟件服務Mastodon來緩解。

F5在一份關于披露的聲明中表示，工程修補程序可應要求提供，適用于這兩個CVE，并且這些修復程序將會很包含在未來的版本中。