# CVE-2022-1388 > [!critical] Bypass de Autenticação RCE no F5 BIG-IP iControl REST - CVSS 9.8 > Vulnerabilidade crítica no F5 BIG-IP permite bypass completo de autenticação na API iControl REST, viabilizando execução de comandos como root. Explorada massivamente por grupos APT e ransomware incluindo o iraniano Fox Kitten. ## Visão Geral A [[cve-2022-1388|CVE-2022-1388]] é uma vulnerabilidade crítica de **bypass de autenticação** na API iControl REST do F5 BIG-IP, com CVSS 9.8. A falha permite que um atacante remoto não autenticado envie requisições para a API de gerenciamento que são executadas com permissões de usuário admin ou root, comprometendo completamente o appliance. O F5 BIG-IP é um dos appliances de Application Delivery Controller (ADC) e balanceamento de carga mais utilizados em ambientes corporativos de grande porte - incluindo bancos, operadoras de telecomúnicações e data centers. O comprometimento de um BIG-IP pode dar ao atacante visibilidade total sobre o tráfego de aplicações e capacidade de modificar ou interceptar comúnicações. O grupo iraniano [[g0117-fox-kitten|Fox Kitten]] foi documentado explorando esta CVE em campanhas de espionagem. No período após divulgação, múltiplos PoCs públicos dispararam exploração massiva automatizada, tornando esta uma das CVEs mais urgentes de 2022. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Authentication Bypass - RCE | | Componente | F5 BIG-IP iControl REST API | | Vetor | Rede - sem autenticação | | Complexidade | Baixa | | PoC Público | Sim (múltiplos, exploração em massa) | ### Mecanismo de Bypass A vulnerabilidade explora uma inconsistência no processamento de headers HTTP na API REST. Enviando um header `X-F5-Auth-Token` ou manipulando o header `Connection`, o atacante pode fazer com que a solicitação seja processada como autenticada pelo backend, mesmo sem credenciais válidas. ``` POST /mgmt/tm/útil/bash HTTP/1.1 Host: target-bigip X-F5-Auth-Token: bypass Connection: X-F5-Auth-Token {"command":"run","utilCmdArgs":"-c 'id; hostname'"} ``` ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Exploração do BIG-IP exposto | | [[t1059-004-unix-shell\|T1059.004]] | Shell root via iControl REST | | [[t1505-003-web-shell\|T1505.003]] | Web shell no TMUI do BIG-IP | | [[t1557-adversary-in-the-middle\|T1557]] | Interceptação de tráfego pós-comprometimento | ## Detecção e Defesa **Mitigações:** - Atualizar BIG-IP para versões corrigidas imediatamente - [[m1051-update-software\|M1051]] - Patch urgente para todos os appliances BIG-IP - Restringir acesso ao TMUI/iControl REST por IP de gerenciamento - [[m1042-disable-or-remove-feature-or-program\|M1042]] - Bloquear acesso externo à porta 443 de gerenciamento > [!latam] Relevância para Brasil e LATAM > O F5 BIG-IP está presente na infraestrutura dos maiores bancos, operadoras de telecomúnicações e provedores de cloud brasileiros. O comprometimento de um BIG-IP em um banco pode expor transações financeiras; em uma operadora, pode dar acesso a comúnicações de milhões de usuários. Esta vulnerabilidade representa risco crítico para a infraestrutura digital do Brasil, especialmente no setor financeiro e de telecomúnicações que dependem do F5 como componente central de entrega de aplicações. ## Referências - [F5 Advisory K23605346](https://support.f5.com/csp/article/K23605346) - [NVD - CVE-2022-1388](https://nvd.nist.gov/vuln/detail/CVE-2022-1388) - [CISA KEV Entry](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)