Los hackers intentan robar contraseñas de administrador de dispositivos F5 Significant-IP


los hackers-están-activamente-explotando-zerodays-5e5e3102d7e6ce0001eb40a9-1-mar-03-2020-16-22-07-poster.jpg

Los piratas informáticos han comenzado a lanzar ataques contra los dispositivos de red F5 Huge-IP, según ZDNet.

Los ataques han sido vistos hoy por Prosperous Warren, un investigador de seguridad para el Grupo NCC.

En una entrevista el día de hoy, Warren le dijo a ZDNet que los ataques son de naturaleza maliciosa y que los piratas informáticos intentan robar contraseñas de administrador de los dispositivos pirateados.

Resumen: Significant-IP y CVE-2020-5902

Estos ataques apuntan a Big-IP, un dispositivo de red multipropósito fabricado por F5 Networks. Los dispositivos Major-IP pueden configurarse para funcionar como sistemas de modelado de tráfico, equilibradores de carga, firewalls, puertas de acceso, limitadores de velocidad o middleware SSL.

Estos dispositivos son algunos de los productos de red más populares en uso hoy en día, y se utilizan para apuntalar algunas de las redes más grandes y sensibles que existen.

Los dispositivos Significant-IP se usan en redes gubernamentales, en redes de proveedores de servicios de Online, dentro de centros de datos de computación en la nube, y se implementan ampliamente en redes empresariales.

Los dispositivos son tan potentes y populares que en su sitio world wide web, F5 afirma que 48 de las 50 compañías incluidas en la lista Fortune 50 dependen de sistemas Big-IP.

El miércoles, F5 Networks publicó parches y lanzó un aviso de seguridad sobre una vulnerabilidad de «ejecución remota de código» en dispositivos Major-IP.

F5 dijo que la vulnerabilidad, rastreada como CVE-2020-5902, podría permitir a los atacantes tomar el regulate full sobre los sistemas no parcheados que son accesibles en World wide web.

La vulnerabilidad se consideró tan peligrosa que recibió un puntaje de gravedad de 10, el máximo en la escala de gravedad CVSSv3. Este puntaje significa que la vulnerabilidad es fácil de explotar, automatizar, puede usarse en World-wide-web y no requiere credenciales válidas o habilidades avanzadas de codificación para aprovecharla.

Los intentos de explotación comenzaron después de tres días.

La comunidad de ciberseguridad esperaba que este mistake cayera bajo ataques activos tan pronto como los hackers descubrieran cómo podrían explotarlo.

Los expertos en seguridad cibernética han estado tratando de alertar sobre la necesidad urgente de corregir este mistake, sin demora, desde el miércoles, cuando se hizo público, ya que cualquier ataque exitoso otorgaría a los actores de la amenaza acceso overall a algunas de las TI más importantes del mundo. redes.

Sus esfuerzos para llamar la atención sobre este tema fueron ayudados por el Comando Cibernético de los EE. UU., Que, el viernes por la noche, solo unas horas antes del 4 de julio, pidió a los administradores del sistema que se tomaran el tiempo para parchear dispositivos Significant-IP, también por temor a lo mismo.

Según Warren, esos ataques comenzaron solo horas después del tweet del Comando Cibernético de EE. UU. Warren, que actualmente opera honeypots Big-IP, servidores diseñados para parecerse a dispositivos Significant-IP, dijo que detectó ataques maliciosos provenientes de cinco direcciones IP diferentes.

En los registros compartidos con ZDNet, Warren señaló la fuente de esos ataques y confirmó que eran maliciosos.

«La vulnerabilidad le permite invocar archivos .JSP utilizando una secuencia transversal», dijo Warren a ZDNet el día de hoy.

«Esto, a su vez, le permite (ab) usar la funcionalidad de archivos .JSP autenticados para hacer cosas como leer archivos o, eventualmente, ejecutar código.

«Hasta ahora, lo que hemos visto es un atacante que lee varios archivos diferentes de los honeypots y ejecuta comandos a través de un archivo .JSP incorporado. Con esto pudieron deshacerse de las contraseñas de administrador cifradas, configuraciones, etcetera., «Dijo Warren.

Pulse Protected, Citrix y ahora … Large-IP

La vulnerabilidad Large-IP es el tipo de bicho de seguridad que los grupos de piratería de estado-nación y las pandillas de ransomware han estado explotando durante casi un año, pero en otros productos.

Desde agosto, los grupos de piratería han estado explotando errores similares de RCE en las VPN de Secure Pulse y las puertas de enlace de crimson Citrix para afianzarse en las redes corporativas, y luego plantar puertas traseras, robar archivos confidenciales o instalar ransomware.

Los errores Pulse Safe y Citrix han sido el pan de cada día para las pandillas de ransomware, en certain. En muchos casos, ni siquiera explotaron los errores de inmediato. Plantaron puertas traseras y luego regresaron días, semanas o meses después para monetizar su acceso.

Se sabe que las pandillas de ransomware como REvil, Maze o Netwalker dependen en gran medida de este tipo de errores para atacar a algunas de las compañías más grandes del mundo, y los expertos en seguridad dicen que la vulnerabilidad Huge-IP es solo el tipo de error que alimentará su próxima ola. de los ataques





Enlace a la noticia initial