Rapid7披露更多F5 BIG-IP漏洞

Rapid7的研究人员在F5产品中发现了5个新的漏洞和风险，在过去几年中，这些漏洞和风险一直是攻击者的热门目标。

在周三的一篇博客文章中，作者详细介绍了影响F5 BIG-IP和BIG-IQ设备的相对低严重性的漏洞和绕过攻击。该文章提供缓解步骤和披露时间表，该时间表指出Rapid7研究员Ron Bowes最初在7月发现了这些问题，并于8月私下向F5披露。随后，F5将其中两项发现归类为漏洞，并标记为CVE-2022-41622（跨站点请求伪造CSRF漏洞）和CVE-2022-41800（使 iControl REST 容易受到经过身份验证的远程代码执行的攻击）。

虽然Rapid7表示这些漏洞不太可能被广泛利用，但众所周知，F5产品包含关键漏洞并吸引威胁行为者。

在5月，研究人员发现对F5 BIG-IP网络设备中关键远程代码漏洞（标记为 CVE-2022-1388）的有效利用，这使得政府发出警报。此外，Rapid7的“2021年漏洞情报报告”包括很多被认为是广泛威胁的F5产品实例。该报告将VPN、防火墙和网关称为“精明攻击者和低技能攻击者的高价值网络攻击机会”。

根据该博客文章称，周三披露的最关键漏洞是CVE-2022-41622，因为攻击者可以获得“对设备管理界面的持久根访问权限（即使管理界面不是面向互联网）”。

面向互联网的功能使F5产品成为攻击者的热门目标，根据Rapid7研究总监Tod Beardsley的说法，这些设备总会接触到互联网，因为这就是它的设计目的。

他指出：“在过去的几年里，我们已经看到这些成为攻击者感兴趣的最喜欢的设备类别，比如VPN集中器和防火墙，只要攻击者成功攻击这些设备，就可长时间潜伏在网络中。”

披露流程问题

虽然Rapid7对F5在处理和解决问题方面的工作表示赞赏，但这些研究人员不认同该供应商对本地权限提升和SELinux安全控制绕过的严重性的评定。

该博客文章写道：“Rapid7还发现了几个安全控制绕过，F5不考虑具有合理攻击面的漏洞。”

Beardsley感到惊讶的是，F5 将 CVE-2022-41800 归类为漏洞，而其他需要管理员登录才能利用的漏洞没有被分配CVE。F5发言人告诉TechTarget Editor，他们做出这一决定是因为“没有已知的方法来利用这些漏洞，除非首先使用未知或未发现的机制绕过安全控制。”

F5发言人在给TechTarget Editorial的电子邮件中说：“我们知道攻击者目前无法利用这些问题，因此不认为它们是漏洞，也没有发布CVE。”

Beardsley强调的一个问题是，特权攻击者可以使用绕过来获得进一步的控制。

Rapid7 和 F5 都考虑的是绕过问题，而不是漏洞。然而，主要的分歧集中在攻击者如何使用漏洞和绕过上。Rapid7从研究人员的角度看待合理攻击面，他说这几乎总是与攻击者的角度相同。例如，可能超出渗透测试人员范围的攻击面可能不适用于攻击者。

当被问及 F5 如何定义合理攻击面时，一位发言人告诉 TechTarget Editor，他们定义的漏洞是 “F5产品的缺陷，这影响 F5 产品或存储在产品上的信息的机密性、完整性或可用性”。该发言人还表示，他们的改进旨在“坚持最佳安全实践，以降低未来设计或威胁模型发生变化时的任何风险。”

Bowes具有渗透测试背景，在确定威胁级别时他强调背景信息的重要性。

Bowes 称：“CSRF漏洞可能允许攻击者将任意文件写入文件系统，但SELinux阻止我这样做-但后来我发现SELinux绕过，这让我可以利用这个漏洞。我们绕过了本应将我们拒之门外的安全控制措施。”

使用SELinux创建管理员控件等边界的情况很少见，Beardsley说他很高兴看到 F5 使用它。他和Bowes也认同F5的观点，即很多披露的漏洞和绕过构成的威胁很低，因为它们需要额外的因素来利用。

该博客文章写道：“大多数其余的漏洞的影响都相对较小，要求攻击者已经对目标设备具有一定程度的访问权限。它们更有可能被用作漏洞利用链的一部分，以加剧更严重的漏洞。”

此外，Beardsley表示，企业可以通过基本的缓解措施避免所有缺陷。例如，他说，最关键的披露漏洞CVE-2022-41622可以通过在管理F5设备时不浏览开源软件服务Mastodon来缓解。

F5在一份关于披露的声明中表示，工程修补程序可应要求提供，适用于这两个CVE，并且这些修复程序将会很包含在未来的版本中。