Este informe especial único contiene información sobre las instancias expuestas de la API REST de iControl de F5 a las que se puede acceder de forma remota y, por lo tanto, es probable que sean vulnerables a una vulnerabilidad RCE crítica CVE-2022-1388 . Se ha visto esta vulnerabilidad explotada en la naturaleza.
La información contenida en el informe se obtiene escaneando los puntos finales expuestos anteriormente.
Proceso de escaneo
Se escaneo toda la dirección IPv4 con una solicitud HTTP GET para /mgmt/shared/authn/login(punto final de autenticación) en los puertos 443, 8443 y 8080 (escaneos HTTP/TLS) y el puerto 80 (HTTP). Si se recibe una respuesta F5, se incluye en el informe. Tenga en cuenta que incluso si 401 F5 Authorization Requiredse recibe una respuesta, un exploit para CVE-2022-1388 tendrá éxito si F5 no se ha parcheado.
No se realiza ninguna explotación o evaluación si el dispositivo es realmente vulnerable a CVE-2022-1388, pero dado el incidente en desarrollo, es muy probable.
Mitigación
Si no aplicó el parche cuando se publicó el 4 de mayo de 2022, es probable que su F5 ya se haya visto comprometido, ya que se observó una explotación poco después. Asegúrese de investigar las señales de compromiso de acuerdo con las mejores prácticas.
No exponga su interfaz de administración de F5 a la Internet pública. Utilice firewalls para bloquear el tráfico y asegúrese de parchear su sistema F5 . Puede encontrar una guía detallada sobre la configuración de seguridad F5 recomendada aquí .
Acerca de los informes especiales
Los informes especiales de Shadowserver son diferentes a todos los otros informes de red diarios gratuitos estándar .
En cambio, se envìan informes especiales en situaciones en las que se comparten conjuntos de datos únicos y de alto valor que se creen que deben informarse de manera responsable para obtener el máximo beneficio público, como en los casos en los que se tiene una nueva vulnerabilidad crítica que se está explotando contra objetivos potencialmente de alto valor.
Tenga en cuenta que los datos compartidos en los informes especiales pueden diferir caso por caso, por lo que los formatos de informe para diferentes informes especiales pueden ser diferentes.
CAMPOS
| timestamp | Marca de tiempo cuando se vio la dirección IP, en UTC+0 |
| ip | Dirección IP del dispositivo afectado |
| port | Puerto TCP identificado – 80, 443, 8443, 8080 |
| protocol | Protocolo |
| asn | Número de Sistema Autónomo del dispositivo afectado |
| geo | País del dispositivo afectado |
| region | Región del dispositivo afectado |
| city | Ciudad del dispositivo afectado |
| hostname | Nombre de host del dispositivo afectado (puede ser de DNS inverso) |
| naics | Código del sistema de clasificación de la industria de América del Norte |
| sector | Sector de la PI en cuestión |
| tag | Etiqueta configurada como expuesta-f5-icontrol-api |
| public_source | Fuente de los datos |
| status | No usado |
| method | Respuesta HTTP recibida |
| device_vendor | Establecer en F5 |
EJEMPLO
timestamp","ip","port","protocol","asn","geo","region","city","hostname","naics","sector","tag","public_source","status","method","device_vendor"
"2022-05-11 18:16:12","202.162.x.x",443,"tcp",18206,"MY","WILAYAH PERSEKUTUAN KUALA LUMPUR","KUALA LUMPUR",,,,"exposed-f5-icontrol-api",,"401 F5 Authorization Required","/mgmt/shared/authn/login","F5"
"2022-05-11 18:16:12","206.124.x.x",443,"tcp",18530,"US","WASHINGTON","SEATTLE","x.x.124.206.sea.avvanta.com",,,"exposed-f5-icontrol-api",,"401 F5 Authorization Required","/mgmt/shared/authn/login","F5"
"2022-05-11 18:16:12","203.75.x.x",443,"tcp",3462,"TW","TAIPEI CITY","TAIPEI","203-75-x-x.hinet-ip.hinet.net",517311,"Communications, Service Provider, and Hosting Service","exposed-f5-icontrol-api",,"401 F5 Authorization Required","/mgmt/shared/authn/login","F5"
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/exposed-f5-mgmt-special-report/