F5 BIG-IP에 존재하는 CVE-2021-22986 취약점 실제 공격에 악용돼

 

 

Threat actors are attempting to exploit CVE-2021-22986 in F5 BIG-IP devices in the wild

 

NCC Group 및 Bad Packets의 사이버 보안 연구원들이 F5 BIG-IP 및 BIG-IQ 네트워킹 기기에 존재하는 치명적인 취약점인 CVE-2021-22986를 악용한 공격을 발견했습니다.

 

 

<이미지 출처: https://twitter.com/NCCGroupInfosec/status/1372855324345040898>

 

 

NCC Group의 red team 전문가인 Rich Warren은 아래와 같이 언급했습니다.

 

“잘못된 익스플로잇, 실패한 공격 시도를 추적한 끝에 금일 아침부터 실제 공격에서 이 취약점을 성공적으로 악용한 사례를 목격하였습니다.”

 

 

<이미지 출처 : https://research.nccgroup.com/2021/03/18/rift-detection-capabilities-for-recent-f5-big-ip-big-iq-icontrol-rest-api-vulnerabilities-cve-2021-22986/>

 

 

지난 3월 초, 해당 보안 업체는 BIG-IP 제품에 존재하는 취약점 7개에 대한 보안 업데이트를 공개했습니다. 이 중 4개의 심각도는 치명적, 2개는 높음, 하나는 보통으로 평가되었습니다.

 

CVE-2021-22986은 인증되지 않은 원격 명령 실행 취약점으로 iControl REST 인터페이스에 존재합니다. 해당 취약점은 CVSS 점수 9.8점을 기록했으며 BIG-IP와 BIG-IQ에 영향을 미칩니다.

 

BIG-IP 관리 인터페이스와 자체 IP 주소를 통해 iControl REST 인터페이스로의 네트워크 접근 권한을 가진 인증되지 않은 공격자는 이 취약점을 악용하여 임의 명령을 실행하고, 파일을 생성 또는 삭제하고, 서비스를 비활성화 할 수 있습니다.

 

F5는 고객들에 아래와 같이 권고했습니다.

 

“사용자는 가능한 한 빨리 BIG-IP 및 BIG-IQ 시스템을 패치된 버전으로 업데이트할 것을 권장합니다.”

 

이 공격은 보안 연구원들이 위 취약점에 대한 PoC 익스플로잇 코드를 공개한 직후부터 시작되었습니다.

 

NCC 그룹은 이 취약점에 대한 IoC, 탐지 로직 및 Suricata 네트워크 규칙을 공개했습니다.

 

이 공격 시도를 발견한 Palo Alto Networks의 Unit 42팀은 Mirai 봇넷 변종을 설치하기 위해 CVE-2021-22986 및 CVE-2020-28188 취약점을 악용한 사례를 발견했다고 밝혔습니다.

 

 

<이미지 출처 : https://twitter.com/Unit42_Intel/status/1373017186818781190>

 

  

 

 

 

출처:

https://securityaffairs.co/wordpress/115760/hacking/f5-big-ip-attacks-cve-2021-22986.html

https://support.f5.com/csp/article/K03009991

https://research.nccgroup.com/2021/03/18/rift-detection-capabilities-for-recent-f5-big-ip-big-iq-icontrol-rest-api-vulnerabilities-cve-2021-22986/