Vulnerabilități F5 exploatate activ

Atacatorii exploatează o vulnerabilitate critică pentru care există update în dispozitivele F5 dar care nu au fost încă actualizate.

Vulnerabilitatea de tip remote command execution(CVE-2021-22986) există în infrastructura de rețea  F5 BIG-IP și BIG-IQ și ar putea permite atacatorilor să preia controlul deplin asupra unui sistem vulnerabil.

La începutul lunii martie, F5 a emis un patch pentru această vulnerabilitate cu rating CVSS de 9,8 și există în interfața iControl REST. După ce a fost emis patch-ul, mai mulți cercetători au postat cod proof-of-concept (PoC) după reverse engineering făcut pentru patchul software Java în BIG-IP. Apoi au raportat scanarea în masă și exploatarea acestei vulnerabilități.

„Începând din această săptămână și în special în ultimele 24 de ore (18 martie 2021), am observat mai multe încercări de atac împotriva infrastructurii noastre de honeypot”, au declarat cercetătorii de la NCC Group.

CISA solicită actualizare

Agenția americană de securitate cibernetică și infrastructură (CISA) a cerut companiilor care utilizează BIG-IP și BIG-IQ să remedieze vulnerabilitatea critică în F5, împreună cu altă vulnerabilitate CVE-2021-22987. Aceasta din urmă cu CVSS de 9,9 afectează interfața Traffic Management User Interface(TMUI) a infrastructurii, denumită și utilitar de configurare. Când rulează în modul Appliance, TMUI are o vulnerabilitate RCE în paginile private.

Situația este una urgentă, deoarece F5 oferă servicii către unele dintre cele mai mari companii de tehnologie din lume, inclusiv Facebook, Microsoft și Oracle, precum și către unele dintre cele mai mari instituții financiare și furnizori de servicii Internet din lume.

„F5 BIG-IP este o țintă foarte bună datorită faptului că poate gestiona date extrem de sensibile”, a declarat Craig Young, cercetător principal în securitate la Tripwire într-un e-mail. „Un atacator cu control deplin asupra unui dispozitiv de tip load balancing poate prelua controlul asupra aplicațiilor web deservite de acesta.”

Alte exploatări active ale vulnerabilităților F5

Experții în securitate au cerut companiilor să implementeze urgent un patch pentru o vulnerabilitate critică în dispozitivele de rețea F5 Networks, care a fost exploatată activ de atacatori pentru obținere de credențiale, pentru instalare de malware și multe altele. Vulnerabilitatea RCE (CVE-2020-5902) a avut un scor CVSS de 10 din 10.

În septembrie anul trecut, guvernul SUA a avertizat că anumite grupări de hackeri chinezi au compromis cu succes mai multe entități guvernamentale și din sectorul privat prin exploatarea vulnerabilităților din dispozitivele F5 BIG-IP (precum și VPN-urile Citrix și Pulse Secure și serverele Microsoft Exchange).

„Orice organizație care folosește BIG-IP sau alt dispozitiv de rețea cu management access și cu expunere în Internet ar trebui aducă aceste dispozitive în rețele private”, a spus Young.

Sursa: https://threatpost.com

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică