Dos días después de que se lanzaron los parches para la vulnerabilidad crítica F5 BIG-IP, los investigadores de seguridad comenzaron a publicar exploits de prueba de concepto (PoC) que muestran lo fácil que es explotar estos dispositivos.
Los clientes de F5 que utilizan dispositivos y soluciones BIG-IP incluyen gobiernos, empresas de Fortune 500, bancos, proveedores de servicios de Internet y muchas marcas de consumo, incluidas Microsoft, Oracle y Facebook.
El viernes, F5 reveló que lanzaron parches para una vulnerabilidad crítica de 10/10 CVSSv3 registrada como CVE-2020-5902 .
Esta vulnerabilidad permite que un atacante remoto acceda a la Interfaz de usuario de gestión de tráfico (TMUI) del controlador de entrega de aplicaciones BIG-IP (ADC) sin autenticación y realice la ejecución remota de código.
Explotar un dispositivo BIG-IP permitiría a un atacante obtener acceso completo al sistema, exportar credenciales de usuario y potencialmente atravesar la red interna del dispositivo.
«Esta vulnerabilidad permite a los atacantes no autenticados o usuarios autenticados, con acceso de red a TMUI, a través del puerto de administración BIG-IP y / o Self IPs, ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, deshabilitar servicios y / o ejecutar código Java arbitrario. Esta vulnerabilidad puede resultar en un compromiso total del sistema. El sistema BIG-IP en modo Appliance también es vulnerable. Este problema no está expuesto en el plano de datos; solo el plano de control se ve afectado » , dice el aviso de F5 .
Debido a la gravedad de esta vulnerabilidad, el Comando Cibernético de EE. UU. Emitió una alerta en la que se recomienda que los usuarios instalen la actualización y no la pospongan hasta después de las vacaciones del 4 de julio.
F5 BIG-IP PoC exploits liberados y utilizados activamente
Hoy, numerosos investigadores han comenzado a publicar exploits para la vulnerabilidad F5 BIG-IP CVE-2020-5902 para ilustrar cuán fácil es exfiltrar datos y ejecutar comandos en dispositivos vulnerables.
Otro investigador ha creado un repositorio de GitHub que enumera los PoC para realizar diversas tareas, como mostrar el archivo / etc / passwd para acceder a las credenciales almacenadas o para ver el archivo de configuración del dispositivo.
Rich Warren de NCC Group ya ha comenzado a ver ataques remotos que intentan explotar dispositivos F5 BIG-IP.
Si está utilizando dispositivos F5 BIG-IP en su red, debe parchear sus dispositivos ahora.
Las versiones BIG-IP vulnerables a los ataques (11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x) deben actualizarse a las versiones parcheadas correspondientes (11.6.5.2, 12.1.5.2, 13.1 .3.4, 14.1.2.6, 15.1.0.4).
Se recomienda a los usuarios de los mercados en la nube (por ejemplo, AWS, Azure, GCP y Alibaba) que cambien a las versiones BIG-IP Virtual Edition (VE) 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6, 15.0.1.4, o 15.1.0.4, si está disponible.
Sin lugar a dudas, APT, los actores patrocinados por el estado y los operadores de ransomware, si no es que ya lo hacen, utilizarán estas vulnerabilidades para tratar de violar su red. Parche ahora!
