在今天发布的联合公告中，CISA 和多国信息共享与分析中心 (MS-ISAC) 警告管理员针对关键 F5 BIG-IP 网络安全漏洞 (CVE-2022-1388) 的主动攻击。

“CISA 和 MS-ISAC 预计会在政府和私营部门网络中看到未修补的 F5 BIG-IP 设备（主要具有公开暴露的管理端口或自有 IP）的广泛利用，”该公告 称。

“CISA 鼓励用户和管理员审查检测方法和缓解措施的联合咨询，其中包括更新 F5 BIG-IP 软件，或者，如果无法立即更新，则应用临时变通办法，”网络安全机构 补充说。

敦促管理员从互联网上删除 F5 BIG-IP 管理接口，并尽快实施多因素身份验证，以阻止对易受攻击的设备的访问。

还建议组织立即将 F5 BIG-IP 软件升级到现已针对 CVE-2022-1388 漏洞进行修补的最新版本。

那些今天无法修补他们的系统的人应该实施以下临时变通办法，以消除攻击媒介：

通过自身 IP 地址阻止 iControl REST 访问。
通过管理界面阻止 iControl REST 访问。
修改 BIG-IP httpd 配置。
该公告还附带 Snort 和 Suricate 签名 ，以检测受损系统并在发生违规时提供详细 的事件响应建议 。

鼓励未立即应用补丁的组织和在线公开 F5 BIG-IP 设备管理界面的组织假设已受到攻击，并开始使用今天联合公告中包含的检测签名来寻找恶意活动。

允许设备接管的严重错误
在 BIG-IP iControl REST 身份验证组件中发现了该漏洞（跟踪为 CVE-2022-1388），它使远程攻击者能够在未修补的 BIG-IP 网络设备“root”上执行命令而无需身份验证。

在安全研究人员在 Twitter 和 GitHub 上在线分享漏洞利用后，攻击者开始利用此漏洞。

尽管这些威胁行为者中的大多数最初只是在受感染的设备上投放了 web shell，但 SANS 互联网风暴中心和安全研究员 Kevin Beaumont 发现了恶意行为者 擦除易受攻击的 BIG-IP 设备的 Linux 文件系统的攻击。

“我们已与 SANS 联系并正在调查此问题。如果客户尚未这样做，我们敦促他们更新到 BIG-IP 的固定版本或实施安全公告中详述的缓解措施之一，”F5 说当 BleepingComputer 寻求有关这些破坏性攻击的更多信息时。

“我们强烈建议客户永远不要将他们的 BIG-IP 管理界面 (TMUI) 暴露在公共互联网上，并确保采取适当的控制措施来限制访问。”

今天的公告是在一周前 CISA 的积极利用漏洞列表中包含 CVE-2022-1388 F5 BIG-IP 漏洞之后发布的。

在 5 月 31 日之前，网络安全机构已要求所有联邦民事行政部门机构 (FCEB) 机构修补积极利用的漏洞，并阻止正在进行的、可能具有破坏性的利用尝试。