1. Açığın Teknik Detayları
F5 BIG-IP Traffic Management Shell (TMSH) komut satırı arayüzünde tespit edilen CVE-2025-20029 kodlu kritik bir komut enjeksiyonu açığı, düşük ayrıcalıklara sahip kimlik doğrulanmış saldırganların güvenlik kısıtlamalarını atlayarak rastgele komutlar çalıştırmasına ve root seviyesinde erişim elde etmesine olanak tanımaktadır. Bu açık, TMSH’nin kullanıcı tarafından sağlanan girdileri işleme biçimindeki bir hatadan kaynaklanmaktadır. Özellikle, save sys config komutu kullanılarak, saldırganlar komutun sonlandırılmasını ve ardından kötü amaçlı bir komutun çalıştırılmasını sağlayabilirler.
Etkilenen Sürümler:
- BIG-IP 17.x: 17.1.0 – 17.1.2
- BIG-IP 16.x: 16.1.0 – 16.1.5
- BIG-IP 15.x: 15.1.0 – 15.1.10
Düzeltme Sürümleri:
- 17.x: 17.1.2.1
- 16.x: 16.1.5.2
- 15.x: 15.1.10.6
F5, bu açığı gidermek için yukarıda belirtilen sürümlerde yamalar yayınlamıştır. Sistem yöneticilerinin, etkilenen cihazlarını en kısa sürede bu sürümlere güncellemeleri önemle tavsiye edilir.
2. Saldırının Adım Adım Gerçekleştirilmesi
Güvenlik araştırmacıları tarafından yayınlanan bir Proof-of-Concept (PoC) istismarı, aşağıdaki adımlarla bu açığın nasıl kullanılabileceğini göstermektedir:
- TMSH Arayüzüne Erişim: Saldırgan, düşük ayrıcalıklı bir hesapla TMSH arayüzüne (örneğin, SSH veya iControl REST API üzerinden) erişim sağlar.
- Kötü Amaçlı Komut Enjeksiyonu:
save sys configkomutunu kullanarak, aşağıdaki gibi bir komut enjekte eder:save sys config partitions { Common "\}; bash -c 'id' ; #" }Bu komut,
saveişlemini sonlandırır vebash -c 'id'komutunu çalıştırır, bu da mevcut kullanıcı kimliğini gösterir. - Yetki Yükseltme ve Sistem Kontrolü: Eğer bu komut başarıyla çalıştırılırsa, saldırgan root ayrıcalıklarıyla sistem üzerinde tam kontrol elde edebilir.
3. Çözüm ve Öneriler
Bu kritik açığın istismarını önlemek için aşağıdaki adımlar önerilmektedir:
- Sürüm Güncellemesi: BIG-IP cihazlarınızı yukarıda belirtilen düzeltme sürümlerine (örneğin, 17.1.2.1, 16.1.5.2, 15.1.10.6) en kısa sürede güncelleyin.
- Erişim Kontrolleri: TMSH ve iControl REST API arayüzlerine erişimi yalnızca güvenilir ağlar ve kullanıcılarla sınırlayın. Özellikle, yönetim arayüzlerine internet üzerinden doğrudan erişimi engelleyin.
- Güvenlik İzleme: Sistem loglarını düzenli olarak izleyerek, özellikle
save sys configkomutuna yönelik olağandışı aktiviteleri tespit edin. - Çok Faktörlü Kimlik Doğrulama (MFA): Yönetici ve kritik hesaplar için MFA uygulayarak, yetkisiz erişim riskini azaltın.
Bu tür güvenlik açıkları, ağ altyapısının güvenliğinin sağlanması ve düzenli güncellemelerin uygulanmasının önemini bir kez daha göstermektedir. Sistem yöneticileri ve güvenlik ekipleri, mevcut sistemlerini gözden geçirerek gerekli önlemleri almalıdır.
Birlikte Güvende Olalım!
#SiberGüvenlik #AğGüvenliği #F5 #BIGIP #CVE202520029
About the Author
