Bilgisayar korsanları gizli saldırılarda son F5 BIG-IP kusurlarından yararlanıyor

F5, BIG-IP yöneticilerini, cihazların erişim işaretlerini silmek ve gizli kod yürütmeyi sağlamak için yakın zamanda açıklanan iki güvenlik açığından yararlanan “becerikli” bilgisayar korsanları tarafından ihlal edildiği konusunda uyarıyor.

F5 BIG-IP, ağ bağlantılı uygulamalar için yük dengeleme, güvenlik ve performans yönetimi sunan bir ürün ve hizmet paketidir. Platformun büyük şirketler ve devlet kurumları tarafından geniş çapta benimsenmesi, üründeki herhangi bir kusuru önemli bir endişe kaynağı haline getiriyor.

Geçtiğimiz hafta F5, yöneticileri yeni keşfedilen iki güvenlik açığı için mevcut güvenlik güncellemelerini uygulamaya çağırdı:

 30 Ekim’de yazılım satıcısı, vahşi doğada aktif istismar konusunda uyarıda bulunmak için CVE-2023-46747  ve  CVE-2023-46748 bültenlerini güncelledi  .

Bültendeki güncellemede “Bu bilgi, F5’in güvenilir göstergeler gibi görünen, güvenliği ihlal edilmiş cihazlarda gördüğü kanıtlara dayanmaktadır” yazıyor .

“Kötüye kullanılan tüm sistemlerin aynı göstergeleri göstermeyebileceğini ve aslında yetenekli bir saldırganın çalışmalarının izlerini kaldırabileceğini unutmamak önemlidir.”

“Bir cihazın güvenliğinin ihlal edilmediğini kanıtlamak mümkün değildir; herhangi bir belirsizlik olduğunda cihazın güvenliğinin ihlal edildiğini düşünmelisiniz.”

CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), iki güvenlik açığını  KEV (Bilinen İstismar Edilen Güvenlik Açıkları) kataloğuna ekleyerek federal hükümet kurumlarına mevcut güncellemeleri 21 Kasım 2023’e kadar uygulamaları çağrısında bulundu.

Etkilenen ve düzeltilen sürümler aşağıda verilmiştir:

F5 ayrıca RCE kusurunun azaltılmasına yardımcı olan bir komut dosyası da yayınladı; bunun kullanım talimatlarını  burada bulabilirsiniz .

F5, tehdit aktörlerinin iki kusuru birlikte kullandığını gözlemledi; dolayısıyla CVE-2023-46747’ye yönelik hafifletmenin uygulanması bile çoğu saldırıyı durdurmak için yeterli olabilir.

BIG-IP’de güvenlik ihlali göstergelerinin (IoC’ler) nasıl aranacağı ve güvenliği ihlal edilmiş sistemlerin nasıl kurtarılacağı konusunda rehberlik için  bu web sayfasına göz atın .

CVE-2023-46748 ile ilgili IoC’ler özellikle /var/log/tomcat/catalina.out dosyasındaki aşağıdaki forma sahip girişlerdir:

{...}
java.sql.SQLException: Column not found: 0.
{...)
sh: no job control in this shell
sh-4.2$ <EXECUTED SHELL COMMAND>
sh-4.2$ exit.

Saldırganların bu kusurları kullanarak izlerini silebilecekleri göz önüne alındığında, şimdiye kadar yama yapılmamış BIG-IP uç noktalarının tehlikeye atılmış olduğu düşünülmelidir.

Açıkta kalan BIG-IP cihazlarının yöneticileri, çok dikkatli bir şekilde doğrudan temizleme ve restorasyon aşamasına geçmelidir.

Kaynak

Exit mobile version