Los piratas informáticos están explotando activamente la vulnerabilidad BIG-IP con una gravedad de 9,8


Los piratas informáticos están explotando activamente la vulnerabilidad BIG-IP con una gravedad de 9,8

Los investigadores están sorprendidos por el alcance y la escala de una vulnerabilidad que los piratas informáticos están explotando activamente para obtener el control total de los dispositivos de red que se ejecutan en algunas de las redes más grandes y sensibles del mundo.

La vulnerabilidad, que tiene una gravedad de 9,8 sobre 10, afecta a BIG-IP de F5, un conjunto de dispositivos que las organizaciones utilizan como equilibradores de carga, cortafuegos y para inspeccionar y cifrar los datos que entran y salen de las redes. Hay más de 16,000 instancias del equipo que se pueden encontrar en línea, y F5 dice que lo usan 48 de Fortune 50. Dada la proximidad de BIG-IP a los bordes de la red y su función como dispositivos que administran el tráfico de los servidores web, a menudo pueden ver el contenido descifrado del tráfico protegido por HTTPS.

La semana pasada, F5 expuso y parchó una vulnerabilidad BIG-IP que los piratas informáticos pueden explotar para ejecutar comandos que se ejecutan con privilegios del sistema raíz. La amenaza emana de una implementación de autenticación defectuosa de iControl REST, un conjunto de interfaces de programación basadas en web para configurar y administrar dispositivos BIG-IP.

«Este problema permite a los atacantes con acceso a la interfaz de administración hacerse pasar por un administrador debido a una falla en la implementación de la autenticación», dijo en un mensaje directo Aaron Portnoy, director de investigación y desarrollo de la firma de seguridad Randori. «Una vez que sea administrador, puede interactuar con cualquier punto final que exponga la aplicación, incluido el código en ejecución».

Las imágenes que flotan en Twitter durante las últimas 24 horas muestran cómo los piratas informáticos pueden usar el exploit para acceder a un punto final de la aplicación F5 llamado bash. Su función es proporcionar una interfaz para ejecutar la entrada del usuario como un comando bash con privilegios de root.

Si bien muchas imágenes muestran un código de explotación que proporciona una contraseña para ejecutar comandos, las vulnerabilidades funcionan si no se especifica ninguna contraseña. La imagen llamó rápidamente la atención de los investigadores, quienes se maravillaron con el poder de un exploit que permite ejecutar comandos de root sin contraseña. Algunos preguntaron, medio en broma, cómo se podía bloquear tanto esta poderosa funcionalidad.

En otra parte de Twitter, los investigadores compartieron el código de explotación e informaron que han visto vulnerabilidades en la naturaleza que han lanzado webshells de puerta trasera que los atacantes podrían usar para mantener el control de los dispositivos BIG-IP pirateados incluso después de que hayan sido pirateados y parcheados. UN tal ataque mostró a los actores de amenazas de las direcciones 216.162.206.213 y 209.127.252.207 lanzando una carga útil en la ruta del archivo /tmp/f5.sh para instalar un shell web basado en PHP en /usr/local/www/xui/common/css/. A partir de ese momento, el dispositivo está protegido por una puerta trasera.

La gravedad de CVE-2022-1388 se calificó en 9,8 la semana pasada antes de que estuvieran disponibles muchos detalles. Ahora que se comprende mejor la simplicidad, el poder y la amplia disponibilidad de los exploits, los riesgos son más agudos. Las organizaciones que utilizan equipos BIG-IP deben priorizar la investigación de esta vulnerabilidad y parchear o mitigar cualquier riesgo que surja. Randori ha proporcionado un análisis detallado de la vulnerabilidad aquí y un script bash de una línea que los usuarios de BIG-IP pueden usar para verificar la explotabilidad. F5 tiene consejos y orientación adicionales aquí.



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *