|
F5 BIG-IP 취약점 PoC 공개 이후 활발하게 공격 이루어져 침해사고분석팀 2021.03.24 |
|
|
애플리케이션 보안 회사 F5 Networks가 자사의 BIG-IP 및 BIG-IQ 제품에 대한 심각한 취약점에 대한 패치를 발표한지 약 10일만에 공격자들은 네트워크에 침입하기 위해 노출되거나 패치되지 않은 네트워크 장치를 대상으로 대량 스킨 및 타겟팅을 하기 시작했다.
이번주 초 BIG-IP의 자바 소프트웨어 패치를 리버스 엔지니어링하여 온라인 상에 등장한 PoC 코드에 이어 다수의 공격 소식이 전해졌으며 대량의 스캔은 3월 18일 부터 급증한 것으로 알려졌다.
이 취약점은 BIG-IP 버전 11.6 또는 12.x 이상에 영향을 미치며, 중요한 원격 코드 실행(CVE-2021-22986)은 BIG-IQ 버전 6.x 및 7.x에서 영향을 미친다.
CVE-2021-22986은 인증되지 않은 원격 명령 실행 취약점으로써 공격자가 임의 인터페이스를 실행하거나 파일 생성 또는 삭제, 서비스 비활성화 등의 작업을 수행할 수 있다.
이러한 취약점에 대한 공격이 성공하면 원격 코드 실행 및 버퍼 오버플로우를 트리거하는 등 취약한 시스템이 손상되어 DoS(서비스 거부)공격이 발생할 수 있다.
[그림 1. 공격 패킷]
3월 10일, NCC 그룹의 연구원들은 BIG-IP/BIG-IQ iControl REST API 취약점인 CVE-2021-22986에 대한 공개적인 악용에 대해 알지 못했다고 말했지만, 허니팟에 대한 다수의 공격 시도로 F5 BIG-IP/BIG-IQ iControl API 전체 체인의 악용 증거를 발견했다.
또한 Palo Alto Networks의 Unit42는 CVE-2021-22986을 활용하여 Mirai Botnet의 변종을 설치하려는 시도를 발견으나 공격이 성공적이었는지는 아직 밝혀지지 않았다.
출처 https://thehackernews.com/2021/03/latest-f5-big-ip-bug-under-active.html |
