Een kritieke kwetsbaarheid in het BIG-IP-platform van F5 waarvoor nog geen twee weken geleden een beveiligingsupdate verscheen wordt inmiddels actief aangevallen. Dat laat securitybedrijf NCC Group weten. Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery.

Op 10 maart kwam F5 met een beveiligingsbulletin voor BIG-IP en BIG-IQ waarmee meerdere kwetsbaarheden worden verholpen, waarvan er vier als kritiek zijn aangemerkt. Het gaat onder andere om beveiligingslekken in de iControl REST-interface van de BIG-IP managementinterface waardoor een aanvaller de authenticatie kan omzeilen en willekeurige code op het systeem kan uitvoeren.

Eén van de kritieke kwetsbaarheden, CVE-2021-22986, wordt nu actief misbruikt. "Misbruik van dit beveiligingslek vereist twee stappen. Eerst moet de authenticatie via de SSRF-kwetsbaarheid worden omzeild om het geauthenticeerde sessietoken te verkrijgen. Deze geauthenticeerde sessie is vervolgens te gebruiken om met de REST API-endpoints te communiceren, die anders authenticatie zouden vereisen", zegt Rich Warren van NCC Group. Inmiddels is er ook exploitcode online verschenen die geen server-side request forgery (SSRF) vereist.

Securitybedrijf Bad Packets laat via Twitter weten dat erop grote schaal naar kwetsbare F5 BIG-IP-servers wordt gezocht. Vorig jaar werd een kritiek beveiligingslek in het platform nog op grote schaal door criminelen aangevallen.