[ad_1]
Atacantes están intentando explotar activamente una vulnerabilidad de alta severidad en dispositivos BIG-IP de F5 Networks que fue parcheada hace poco más de diez días por la compañía.
El 10 de marzo pasado la compañía F5 Networks publicaba una alerta con los detalles de una actualización en la que reparaba un total de 21 fallas de seguridad en productos de BIG-IP y BIG-IQ, entre ellas cuatro vulnerabilidades críticas con puntajes de 9.0, 9.8 y 9.9 de acuerdo a la escala de severidad CVSS. Lamentablemente, para el 18 de marzo investigadores ya habían detectado varios intentos de explotación para al menos una de las vulnerabilidades críticas.
Concretamente, la CVE-2021-22986, una vulnerabilidad de ejecución remota de código con una severidad de 9.8 que no requiere autenticación y que radica en la interfaz REST de iControl. La misma está presente en BIG-IP y BIG-IQ y permitiría a un atacante comprometer el sistema de manera completa, lo cual incluye crear o eliminar archivos, ejecutar comandos en los dispositivos, deshabilitar servicios o lanzar ataques de DDoS.
A partir de la publicación del parche, investigadores desarrollaron y publicaron pruebas de concepto tras hacer ingeniería inversa al parche, por lo que era de esperarse que los atacantes comenzaran a lanzar ataques intentando explotar el fallo en equipos que no hayan instalado la actualización.
Si bien desde F5 aseguraban el 10 de marzo que en ese entonces no estaban al tanto de casos de explotación del alguna de las vulnerabilidades reparadas, el 18 de marzo investigadores de la firma NCC confirmaron haber detectado la explotación exitosa de esta vulnerabilidad utilizando distintas PoC.
Update: several others have shared PoCs of a variant which does not require SSRF. We’ve also seen attempts using this variant against our honeypot. The blog post has been updated with additional IOCs https://t.co/2h5Ym5blkr
— Rich Warren (@buffaloverflow) March 20, 2021
A su vez, se ha observado actividad en Internet de escaneos masivos en distintas partes del mundo en busca de terminales de F5 que sean vulnerables a la CVE-2021-22986.
Mass scanning activity detected from the following hosts checking for F5 iControl REST endpoints vulnerable to CVE-2021-22986 (https://t.co/MsZmXEtcTn).
173.225.104.68 (🇺🇸)
216.147.231.52 (🇺🇸)
191.137.93.117 (🇧🇷)#threatintel— Bad Packets (@bad_packets) March 21, 2021
Por su parte, otras compañías comenzaron a ver una variante de la botnet Mirai intentando explotar esta CVE, aunque se desconoce si lograron hacerlo de manera efectiva, mientras que otros investigadores han detectado la explotación de esta falla en empresas de América Latina intentando instalar XMRig, un minero de criptomonedas muy utilizado por cibercriminales.
Cabe destacar que los productos de F5 Networks son utilizados por organismos gubernamentales e importantes compañías de industrias como financieras, salud o telecomunicaciones, por nombrar algunas, por lo que el alcance de un ataque a estos sistemas podría traer importantes consecuencias.
En julio de 2020 ocurrió algo similar con otra falla de seguridad en dispositivos BIG-IP cuando se descubrió que atacantes estaban explotando una vulnerabilidad crítica de ejecución remota de código, por lo que es muy importante instalar la actualización.
[ad_2]
Source link