簡述
F5 Networks 是一家位於美國，專門從事應用層服務和應用交付網絡的美國公司。F5 旗下一個叫做 BIG-IP的產品家族，集結了硬體、模組化軟體以及執行 F5 TMOS自製作業系統的虛擬設備。近日其 BIG-IP 系統上被發現含有一個重大安全漏洞 CVE-2022-1388，風險等級高達 9.8 分，且已有攻擊者開始利用這個漏洞。

 

漏洞說明
CVE-2020-1388 存在於 BIG-IP 所有模組所使用的的 iControl REST 元件中，可允許未經身份驗證的攻擊者在系統上啟動任意系統名利、創建及刪除文件，或是禁止服務等。

CVE-2022-1388 被發現的 24 小時候，安全研究人員便宣佈他們已經能夠有效利用這個漏洞，並且有關漏洞利用方式的圖片也充斥在 Twitter 上。研究人員展示，駭客只需透過發送 2 個命令和一些標頭來定位和訪問一個名為 「bash」的 F5 應用程序端點來利用漏洞，此端點也暴露在網路上。

端點的功能是提供一個接口，用於將用戶提供的輸入作為具有 root 權限的 bash 命令運行。Cronup 的安全研究員 Germán Fernández 透露，駭客正在將 PHP webshel​​l 放到“/tmp/f5.sh”，並將它們安裝到“/usr/local/www/xui/common/css/”。攻擊者使用地址 216[.]162.206[.]213 和 209[.]127.252[.]207 來丟棄有效載荷。有效負載在安裝後被執行並從系統中刪除。因此在沒有提供密碼的情況下，此漏洞也可以發揮作用。

 

修補方式
F5 發佈了詳細地公告、修補程序以及緩解措施。強烈建議系統管理員安裝補丁程序，並根據下列步驟移除透過公用網路訪問到內部管理頁面的權限：

1. 阻止對 iControl REST 界面的所有訪問

2. 限制 iControl REST 訪問

3. 修改 BIG-IP httpd 配置

 

參考資料：
https://www.ithome.com.tw/news/150831
https://threatpost.com/exploit-f5-big-ip-bug/179563/