上週，F5 披露並修補了一個嚴重等級達到9.8 / 10 分的BIG-IP 漏洞。由於iControl REST 身份驗證配置錯誤，黑客可藉此以root 權限運行系統命令。據悉，iControl REST 是一組用於配置和管理BIG-IP 設備的基於Web 的編程接口，而BIG-IP 則是該組織用於負載均衡、防火牆、以及檢查和加密進出網絡數據的一系列設備。

ArsTechnica指出：BIG-IP 涵蓋了超過16000 個可在線發現的設備實例，且官方宣稱有被財富50 強中的48 家所採用。

然而讓Randori 安全研究主管Aaron Portnoy 感到震驚的是：

由於身份驗證的設施方法存在缺陷，該問題竟使得能夠訪問管理界面的攻擊者偽裝系統管理員身份，之後便可與應用程序提供的所有端點進行交互、甚至執行任意代碼。

鑑於BIG-IP 靠近網絡邊緣、且作為管理Web 服務器流量的設備功能，它們通常處於查看受HTTPS 保護的流量/ 解密內容的有利位置。

過去一整天，Twitter 上流傳的大量圖片，揭示了黑客是如何積極在野外利用CVE-2022-1388 漏洞，來訪問名為bash 的F5 應用程序端點的。

其功能是提供一個接口，用於將用戶提供的輸入，作為具有root 權限的bash 命令來運行。更讓人感到震驚的是，雖然不少概念驗證（PoC）用到了密碼，但也有一些案例甚至可在不提供密碼的情況下運作。

對於如此重要的設備命令竟然被這樣鬆散地處置，許多業內人士都感到大為不解，此外有報告提到攻擊者可利用webshell 後門來維持對BIG-IP 設備的控制（即便修補後也是如此）。

在其中一個案例中，有IP 地址為216.162.206.213 和209.127.252.207 的攻擊者將有效載荷置入了/tmp/f5.sh 的文件路徑、從而在/usr/local/www/xui/common/css/ 中部署基於PHP 的webshell 後門。

當然，這並不是安全研究人員被如此離譜嚴重的漏洞給驚到。比如不少人都提到，這種情況與兩年前的CVE-2020-5902 實在太過相似。

不過隨著大家對於CVE-2022-1388（RCE）漏洞的易得性、強大功能、以及廣泛性有了更深入的了解，相關風險也正籠罩到更多人的頭上。

如果你所在的組織機構正在使用F5 的BIG-IP 設備，還請著重檢查並修補該漏洞、以減輕任何可能遇到的潛在風險。

有需要的話，可參考Randori熱心提供的漏洞詳情分析/ 單行bash 腳本，並抽空詳閱F5 給出的其它建議與指導（KB23605346）。