🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
Home
Threat Intelligence Posts
ذكاء نقاط الضعف

تؤدي مصادقة نقطة النهاية المفقودة في F5 BIG-IP إلى تنفيذ التعليمات البرمجية عن بُعد

توجد خطورة الثغرة الأمنية التي تم تحديدها حديثًا CVE-2022-1388 في F5 BIG-IP. تم تحديد الثغرة الأمنية بواسطة F5 داخليًا وتم إصدار التصحيح ولكن الاختلاف في الكود سمح للجهات الفاعلة في التهديد بعمل استغلال عملي لـ CVE.
Updated on
August 19, 2025
Published on
May 11, 2022
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
الفئة: ذكاء نقاط الضعففئة نقاط الضعف الأمنية: تنفيذ التعليمات البرمجية عن بُعدغطاء الكهف: CVE-2022-1388السيرة الذاتية: 3.0 النتيجة: 9.8

ملخص تنفيذي

  • كلاود سيكأجرى قسم أبحاث التهديدات وتحليلات المعلومات (TRIAD) تحقيقًا للتأكد من شدة الثغرة الأمنية التي تم تحديدها حديثًا CVE-2022-1388 موجود في F5 BIG-IP.
  • F5، Inc. هي شركة تكنولوجيا أمريكية متخصصة في أمان التطبيقات، وإدارة السحابة المتعددة، ومنع الاحتيال عبر الإنترنت، وشبكات توصيل التطبيقات، وتوافر التطبيقات وأدائها، وأمن الشبكة، والوصول والترخيص.
  • تم تحديد الثغرة الأمنية بواسطة F5 داخليًا وتم إصدار التصحيح ولكن الاختلاف في الكود سمح للجهات الفاعلة في التهديد بعمل استغلال عملي لـ CVE.
  • يمكن للمهاجمين استغلال الثغرة الأمنية للحصول على موطئ قدم أولي في البنية التحتية وبعد ذلك تحقيق تنفيذ التعليمات البرمجية عن بُعد (RCE) غير المصدق وربما الوصول العكسي إلى المهاجم. بدأت الجهات الفاعلة في مجال التهديد بالفعل في البحث عن هذه الثغرة الأمنية بأعداد كبيرة.
[معرف التسمية التوضيحية = «المرفق _19335" align= «alignnone» العرض = «694"]Image depicting Workflow of CVE-2022-1388 صورة توضح سير العمل في CVE-2022-1388 [/caption]

التحليل

  • CVE-2022-1388 هي ثغرة RCE تحدث بسبب فقدان المصادقة من نقاط النهاية الحرجة.
  • تحتوي الثغرة الأمنية على استغلال بسيط للغاية يمكن للمهاجم من خلاله عرض/حذف الملفات وتغيير تكوين النظام وتنفيذ الأوامر عن بُعد وما إلى ذلك.
  • يحتوي الجدول أدناه على قائمة بالإصدارات المتأثرة إلى جانب مكافئاتها المصححة.
فرعالإصدارات المتأثرةإصدارات ثابتة17.XNONE17.0.016.x16.1.0 - 16.1.216.1.2215.x15.1.0 - 15.1.515.1.5.114.x14.1.0 - 14.1.414.1.4.613.x13.1.0 - 13.1.413.1.512.x12.1.0 - 12.1.6EOL - لا يوجد حل متاح 11.x11.6.1 - 11.6.5EOL - لا يوجد حل متاح

ذا إكسبلوت

  • كما هو موضح في الصورة أدناه، يمكن للمهاجم تقديم طلب إلى نقطة نهاية ضعيفة /mgmt/tm/util/bash باستخدام أمر وسيتم الكشف عن النتائج.
  • يحدث هذا بسبب عدم مصادقة نقطة نهاية حرجة، مثل /mgmt/tm/util/bash.
[معرف التسمية التوضيحية = «المرفق _19336" align= «alignnone» width="1625"]Image depicting the exploitation POC where the ‘cat’ command can be replaced with other malicious payloads صورة تصور استغلال POC حيث يمكن استبدال الأمر 'cat' بحمولات ضارة أخرى [/caption]

CVE-2021-22986

  • واجهت F5 Big IP iControl REST سابقًا تكوينًا خاطئًا للمصادقة على نقطة النهاية الدقيقة المسماة CVE-2021-22986.
  • الفرق بين نقاط الضعف هو أنه في الثغرة السابقة، فإن 'رمز المصادقة X-F5تم ترك 'فارغًا، بينما في الإصدار الأخير، تم ترك'الاتصالتم تعيين 'العنوان على'رمز المصادقة X-F5'.

معلومات من OSINT

  • يمكن أن يساعدنا عدد الخوادم المعرضة للخطر في فهم تأثير هذه الثغرة الأمنية. يكشف بحث Censys أن 2902 نظامًا نشطًا تم العثور عليه عرضة لهذا CVE.
[معرف التسمية التوضيحية = «المرفق _19337" align= «alignnone» width="1122"]A Censys search depicting possible 2,902 vulnerable systems. بحث Censys يصور 2902 نظامًا ضعيفًا محتملًا. [/التسمية التوضيحية]
  • هناك العديد من نصوص POC المتوفرة لـ الجمهور للنظر فيه والاستفادة منه على العديد من المنصات مفتوحة المصدر.
  • بدأت الجهات الفاعلة في مجال التهديد في نشر الثغرات ومناقشة هذه الثغرة الأمنية في العديد من منتديات الجرائم الإلكترونية وقنوات Telegram. (لمزيد من المعلومات، يرجى الرجوع إلى الملحق)

التأثير والتخفيف

التأثيرالتخفيف
  • يمكن أن تؤدي الثغرة الأمنية إلى تنفيذ تعليمات برمجية عن بُعد بدون مصادقة.
  • يمكن للمهاجم استخدام هذا للحصول على موطئ قدم أولي في البنية التحتية للمؤسسة واستغلال البنية التحتية بشكل أكبر.
  • يمكن استخدام هذه الثغرة الأمنية من قبل مجموعات برامج الفدية والمشغلين للحصول على فوائد مالية.
  • يمكن إساءة استخدام هذا من قبل الجهات الفاعلة في الدولة القومية لاستخراج المعلومات الاستخباراتية والبيانات الحساسة، مما يتسبب في فقدان الثقة من أصحاب المصلحة.
  • قم بالتحديث الفوري إلى الإصدارات المصححة كما هو مذكور فوق.
  • إذا لم يكن التصحيح ممكنًا، فيرجى اتباع الحلول المذكورة هنا، سيؤدي ذلك إلى تقييد وصول iControl REST إلى عناوين IP الموثوقة فقط.

المراجع

الملحق

[معرف التسمية التوضيحية = «المرفق _19338" align= «alignnone» width="1335"]Images depicting threat actors discussing and sharing the vulnerability صور تصور الجهات الفاعلة في مجال التهديد وهي تناقش نقاط الضعف وتشاركها [/caption] [معرف التسمية التوضيحية = «المرفق _19339" align= «alignnone» width="584"]Images depicting threat actors discussing and sharing the vulnerability صور تصور الجهات الفاعلة في مجال التهديد وهي تناقش نقاط الضعف وتشاركها [/caption]
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more