Los actores de la amenaza ya comenzaron a explotar el megabicho F5 BIG-IP, tres días después de que se revelara.
Los piratas informáticos han comenzado a lanzar ataques contra dispositivos de red F5 BIG-IP, según ha podido saber ZDNet.
Los ataques han sido vistos hoy por Rich Warren , un investigador de seguridad del Grupo NCC .
En una entrevista el día de hoy, Warren le dijo a ZDNet que los ataques son de naturaleza maliciosa y que los piratas informáticos intentan robar contraseñas de administrador de los dispositivos pirateados.
RESUMEN: BIG-IP Y CVE-2020-5902
Estos ataques apuntan a BIG-IP, un dispositivo de red multipropósito fabricado por F5 Networks. Los dispositivos BIG-IP se pueden configurar para funcionar como sistemas de modelado de tráfico, equilibradores de carga, firewalls, puertas de acceso, limitadores de velocidad o middleware SSL.
Estos dispositivos son algunos de los productos de red más populares en uso hoy en día, y se utilizan para apuntalar algunas de las redes más grandes y sensibles que existen.
Los dispositivos BIG-IP se utilizan en redes gubernamentales, en redes de proveedores de servicios de Internet, dentro de centros de datos de computación en la nube, y se implementan ampliamente en redes empresariales.
Los dispositivos son tan potentes y populares que, en su sitio web , F5 afirma que 48 de las 50 compañías incluidas en la lista Fortune 50 dependen de sistemas BIG-IP.
El miércoles, F5 Networks publicó parches y lanzó un aviso de seguridad sobre una vulnerabilidad de “ejecución remota de código” en dispositivos BIG-IP.
F5 dijo que la vulnerabilidad, rastreada como CVE-2020-5902, podría permitir a los atacantes tomar el control total sobre los sistemas sin parches que son accesibles en Internet.
La vulnerabilidad se consideró tan peligrosa que recibió una puntuación de gravedad de 10 , el máximo en la escala de gravedad CVSSv3. Este puntaje significa que la vulnerabilidad es fácil de explotar, automatizar, puede usarse a través de Internet y no requiere credenciales válidas o habilidades de codificación avanzadas para aprovecharla.
LOS INTENTOS DE EXPLOTACIÓN COMENZARON DESPUÉS DE TRES DÍAS.
La comunidad de ciberseguridad esperaba que este error cayera bajo ataques activos tan pronto como los hackers descubrieran cómo podrían explotarlo.
Los expertos en ciberseguridad han tratado de dar la alarma sobre la necesidad urgente de corregir este error, sin demora, desde el miércoles, cuando se hizo público, ya que cualquier ataque exitoso otorgaría a los actores de la amenaza acceso total a algunas de las TI más importantes del mundo. redes.
Sus esfuerzos para llamar la atención sobre este tema fueron ayudados por el Comando Cibernético de los EE. UU., Que, el viernes por la noche, solo unas horas antes del 4 de julio, pidió a los administradores del sistema que se tomaran el tiempo para parchear dispositivos BIG-IP, también por temor a lo mismo.
Según Warren, esos ataques comenzaron solo horas después del tweet del Comando Cibernético de EE. UU. Warren, que actualmente opera honeypots BIG-IP, servidores diseñados para parecerse a dispositivos BIG-IP, dijo que detectó ataques maliciosos provenientes de cinco direcciones IP diferentes.
En los registros compartidos con ZDNet, Warren señaló la fuente de esos ataques y confirmó que eran maliciosos.
“La vulnerabilidad le permite invocar archivos .JSP utilizando una secuencia transversal”, dijo Warren a ZDNet el día de hoy.
“Esto, a su vez, le permite (ab) usar la funcionalidad de archivos .JSP autenticados para hacer cosas como leer archivos o, eventualmente, ejecutar código.
“Hasta ahora, lo que hemos visto es un atacante que lee varios archivos diferentes de los honeypots y ejecuta comandos a través de un archivo .JSP incorporado. Con esto pudieron deshacerse de las contraseñas de administrador cifradas, configuraciones, etc., “Dijo Warren.
PULSE SECURE, CITRIX Y AHORA … BIG-IP
La vulnerabilidad BIG-IP es el tipo de bicho de seguridad que los grupos de piratas informáticos de los países y las pandillas de ransomware han estado explotando durante casi un año, pero en otros productos.
Desde agosto, los grupos de hackers han estado explotando errores similares de RCE en Pulse Secure VPN y puertas de enlace de red Citrix para afianzarse en las redes corporativas y luego plantar puertas traseras, robar archivos confidenciales o instalar ransomware.
Los errores Pulse Secure y Citrix han sido el pan de cada día para las pandillas de ransomware, en particular. En muchos casos, ni siquiera explotaron los errores de inmediato. Plantaron puertas traseras y luego regresaron días, semanas o meses después para monetizar su acceso.
Se sabe que las pandillas de ransomware como REvil, Maze o Netwalker dependen en gran medida de este tipo de errores para atacar a algunas de las compañías más grandes del mundo, y los expertos en seguridad dicen que la vulnerabilidad BIG-IP es solo el tipo de error que alimentará su próxima ola. de los ataques