Los investigadores están maravillados por el alcance y la magnitud de una vulnerabilidad que los piratas informáticos están explotando activamente para tomar el control total de los dispositivos de red que se ejecutan en algunas de las redes más grandes y sensibles del mundo.

La vulnerabilidad, que tiene una clasificación de gravedad de 9,8 de un máximo de 10, afecta a BIG-IP de F5, una línea de dispositivos que las organizaciones utilizan como equilibradores de carga, cortafuegos y para la inspección y el cifrado de datos que entran y salen de las redes. Hay más de 16,000 instancias del equipo que se pueden descubrir en línea, y F5 dice es utilizado por 48 de Fortune 50. Dada la proximidad de BIG-IP a los bordes de la red y sus funciones como dispositivos que administran el tráfico para los servidores web, a menudo están en condiciones de ver contenidos descifrados del tráfico protegido por HTTPS.

La semana pasada, F5 revelado y parcheado una vulnerabilidad BIG-IP que los piratas informáticos pueden explotar para ejecutar comandos que se ejecutan con privilegios del sistema raíz. La amenaza proviene de una implementación de autenticación defectuosa del DESCANSO iControlun conjunto de interfaces de programación basadas en web para configurar y administrar Dispositivos BIG-IP.

“Este problema permite a los atacantes con acceso a la interfaz de administración básicamente pretender ser un administrador debido a una falla en la forma en que se implementa la autenticación”, dijo en un mensaje directo Aaron Portnoy, director de investigación y desarrollo de la firma de seguridad Randori. “Una vez que sea administrador, puede interactuar con todos los puntos finales que proporciona la aplicación, incluido el código de ejecución”.

Las imágenes que circulan por Twitter en las últimas 24 horas muestran cómo los piratas informáticos pueden usar el exploit para acceder a un punto final de la aplicación F5 llamado bash. Su función es proporcionar una interfaz para ejecutar la entrada proporcionada por el usuario como un comando bash con privilegios de raíz.

Si bien muchas imágenes muestran un código de explotación que proporciona una contraseña para ejecutar los comandos, las vulnerabilidades también funcionan cuando no se proporciona contraseña. La imagen llamó rápidamente la atención de los investigadores que se maravillaron con el poder de un exploit que permite la ejecución de comandos de root sin contraseña. Solo medio en broma, algunos preguntaron cómo una funcionalidad tan poderosa podría haberse bloqueado tan mal.

En otra parte de Twitter, los investigadores compartieron el código de explotación e informaron haber visto vulnerabilidades en estado salvaje que lanzaron webshells de puerta trasera que los actores de amenazas podrían usar para mantener el control sobre los dispositivos BIG-IP pirateados, incluso después de que se repararon. Uno tal ataque mostró actores de amenazas de las direcciones 216.162.206.213 y 209.127.252.207 lanzando una carga útil a la ruta del archivo /tmp/f5.sh para instalar webshell basado en PHP en /usr/local/www/xui/common/css/. A partir de ese momento, el dispositivo tiene una puerta trasera.

La gravedad de CVE-2022-1388 se calificó en 9,8 la semana pasada antes de que estuvieran disponibles muchos detalles. Ahora que se comprende mejor la facilidad, el poder y la amplia disponibilidad de los exploits, los riesgos adquieren una mayor urgencia. Las organizaciones que utilizan equipos BIG-IP deben priorizar la investigación de esta vulnerabilidad y la reparación o mitigación de cualquier riesgo que surja. Randori proporcionó un análisis detallado de la vulnerabilidad y un script bash de una línea aquí que los usuarios de BIG-IP pueden utilizar para comprobar la explotabilidad. F5 tiene consejos y orientación adicionales aquí.

Author

Write A Comment