Vulnerabilidad de parches F5 que recibió un puntaje de gravedad CVSS 10


f5-networks.jpg

Imagen: ZDNet

F5 Networks, uno de los mayores proveedores mundiales de equipos de redes empresariales, ha publicado un aviso de seguridad esta semana advirtiendo a los clientes que corrijan una falla de seguridad peligrosa que es muy possible que se explote.

La vulnerabilidad afecta el producto Massive-IP de la compañía. Estos son dispositivos de purple multipropósito que pueden funcionar como sistemas de conformación de tráfico world-wide-web, equilibradores de carga, firewalls, puertas de acceso, limitadores de velocidad o middleware SSL.

BIP-IP es uno de los productos de red más populares en uso hoy en día. Se usan en redes gubernamentales de todo el mundo, en las redes de proveedores de servicios de World-wide-web, dentro de centros de datos de computación en la nube y ampliamente en redes empresariales.

En su sitio internet, F5 dice que sus dispositivos Big-IP se usan en las redes de 48 compañías incluidas en la lista Fortune 50.

CVE-2020-5902

Rastreado como CVE-2020-5902, el error Major-IP fue encontrado y privado reportado a F5 por Mikhail Klyuchnikov, investigador de seguridad en Beneficial Systems.

El error es una vulnerabilidad llamada «ejecución remota de código» en la interfaz de administración de Large-IP, conocida como TMUI (interfaz de usuario de administración de tráfico).

Los atacantes pueden explotar este error en Internet para obtener acceso al componente TMUI, que se ejecuta sobre un servidor Tomcat en el sistema operativo basado en Linux de Huge-IP.

Los piratas informáticos no necesitan credenciales válidas para atacar dispositivos, y una explotación exitosa puede permitir a los intrusos ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, deshabilitar servicios y / o ejecutar código arbitrario de Java, y eventualmente llevar a los atacantes a obtener el regulate whole sobre El dispositivo Big-IP.

La vulnerabilidad es tan peligrosa que recibió la rara puntuación de 10 sobre 10 en la escala de gravedad de vulnerabilidad CVSSv3. Este puntaje significa que el mistake de seguridad es fácil de explotar, automatizar, puede usarse en World-wide-web y no requiere credenciales válidas o habilidades de codificación avanzadas para aprovecharlo.

Como coincidencia, este fue el segundo error 10/10 CVSS en un dispositivo de purple divulgado esta semana, luego de que se revelara un error crítico very similar que afectaba a los dispositivos de firewall y VPN de Palo Alto Networks el lunes.

Necesidad de parches urgentes

El Comando Cibernético de EE. UU. Emitió una advertencia al sector privado y gubernamental esta semana para corregir el mistake de Palo Alto, ya que esperaban que los piratas informáticos estatales extranjeros intentaran explotar la vulnerabilidad.

Una agencia de seguridad cibernética de EE. UU. No emitió ninguna advertencia oficial, pero el error F5 no es menos grave y tan peligroso como el de Palo Alto.

«La urgencia de reparar este (mistake) no puede ser subestimada» dijo en Twitter esta semana Nate Warfield, ex ingeniero de F5 Networks y actualmente investigador de seguridad en Microsoft.

«Un uso común de su tecnología es la descarga SSL», agregó. «El compromiso whole de un sistema podría, en teoría, permitir a alguien espiar el tráfico no cifrado dentro del dispositivo.

«Su sistema operativo (de gestión) está basado en Linux y, como la mayoría de los ADC (controladores de entrega de aplicaciones), se implementan en partes centrales de redes de alto acceso».

Actualmente, según un Búsqueda de Shodan, hay alrededor de 8.400 dispositivos Huge-IP conectados en línea.

Al momento de escribir este artículo, varias compañías e investigadores de seguridad de la comunidad de ciberseguridad le han dicho a ZDNet que no han detectado ningún ataque dirigido a estos dispositivos pero esperan que los ataques comiencen pronto, especialmente si un código de explotación de prueba de concepto se comparte públicamente en línea.

La seguridad F5 para el CVE-2020-5902 Massive-IP TMUI RCE está disponible aquí, con información sobre versiones y parches de firmware vulnerables.





Enlace a la noticia initial