La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté la faille F5 BIG-IP récemment révélée à son catalogue de vulnérabilités exploitées connues à la suite de rapports d’abus actifs dans la nature. La faille, affectée de l’identifiant CVE-2022-1388 (score CVSS : 9,8), concerne un bogue critique dans le point de terminaison BIG-IP iControl REST qui fournit à un adversaire non authentifié une méthode pour exécuter des commandes système arbitraires. « Un attaquant peut utiliser cette vulnérabilité pour faire à peu près tout ce qu’il veut sur le serveur vulnérable », a déclaré Horizon3.ai dans un rapport. « Cela inclut la modification de la configuration, le vol d’informations sensibles et le déplacement latéral au sein du réseau cible. » Des correctifs et des atténuations pour la faille ont été annoncés par F5 le 4 mai, mais elle a été exploitée à l’état sauvage au cours de la semaine dernière, les attaquants tentant d’installer un shell Web qui accorde un accès par porte dérobée aux systèmes ciblés. « En raison de la facilité d’exploitation de cette vulnérabilité, du code d’exploitation public et du fait qu’il fournit un accès root, les tentatives d’exploitation sont susceptibles d’augmenter », a noté Ron Bowes, chercheur en sécurité chez Rapid7. « L’exploitation généralisée est quelque peu atténuée par le petit nombre d’appareils F5 BIG-IP faisant face à Internet. » Bien que F5 ait depuis révisé son avis pour inclure ce qu’il considère comme des indicateurs « fiables » de compromission, il a averti qu' »un attaquant qualifié peut supprimer les preuves de compromission, y compris les fichiers journaux, après une exploitation réussie ». Pour aggraver les choses, des preuves ont émergé que la faille d’exécution de code à distance est utilisée pour effacer complètement les serveurs ciblés dans le cadre d’attaques destructrices afin de les rendre inopérants en émettant une commande « rm -rf /* » qui supprime de manière récursive tous les fichiers. « Étant donné que le serveur Web s’exécute en tant que root, cela devrait prendre en charge tout serveur vulnérable et détruire tout appareil BIG-IP vulnérable », a déclaré SANS Internet Storm Center (ISC) sur Twitter. À la lumière de l’impact potentiel de cette vulnérabilité, les agences du Pouvoir exécutif civil fédéral (FCEB) ont été mandatées pour corriger tous les systèmes contre le problème d’ici le 31 mai 2022.