Los atacantes buscan dispositivos Large-IP vulnerables después de …



La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. Alienta a las organizaciones a corregir un defecto crítico en la familia Huge-IP de controladores de entrega de aplicaciones, ya que las empresas encuentran evidencia de que los atacantes están buscando la vulnerabilidad crítica.

Los atacantes se enfocaron en una vulnerabilidad crítica en la familia Major-IP de controladores de entrega de aplicaciones, dispositivos que aseguran las principales aplicaciones website y ayudan a equilibrar las cargas de tráfico para sitios grandes, solo dos días después de que el fabricante de dispositivos de pink F5 solucionó el problema, según dos organizaciones.

Los ataques apuntan a dispositivos F5 que han expuesto la interfaz de usuario administrativa a Web, indicó un controlador de incidentes de SANS en una entrada en el website de SANS Online Storm Center. Varios escaneos oportunistas están dirigidos a la interfaz de usuario de gestión de tráfico Major-IP (TMUI), con el objetivo de desencadenar la vulnerabilidad y tomar el command de dispositivos inseguros.

Para los miles de dispositivos Large-IP que exponen la interfaz a Net, el escaneo podría resultar en grandes compromisos de los sitios y redes protegidos, dice Johannes Ullrich, decano de investigación en el Instituto de Tecnología SANS y fundador del Centro de Tormentas de Web. .

«El problema es que estos dispositivos son dispositivos perimetrales, por lo que un compromiso de un solo dispositivo significa que toda la crimson detrás de ellos también está comprometida», dice.

Los ataques comenzaron solo dos días después de que F5, el fabricante de los productos Massive-IP, anunciara el 1 de julio que sus productos tenían dos vulnerabilidades, una de las cuales es un ataque de ejecución remota de código que permite inyectar código en el administrador de configuración del dispositivo.

La vulnerabilidad «es el resultado de fallas de seguridad en múltiples componentes, como uno que permite la explotación transversal del directorio», dice Mikhail Klyuchnikov, un experto en seguridad de Favourable Technologies, quien encontró e inicialmente informó las vulnerabilidades. «Esto es particularmente peligroso para las empresas cuya interfaz net F5 Big-IP figura en motores de búsqueda como Shodan. Afortunadamente, la mayoría de las empresas que utilizan el producto no permiten el acceso a la interfaz desde Web».

Favourable Technologies lanzó su propio aviso el 2 de julio, un día después del parche. La explotación activa de la vulnerabilidad más crítica comenzó el 3 de julio, según la consultora de seguridad NCC Group, que también detectó escaneos. Para el 5 de julio, los exploits y cargas útiles en pleno funcionamiento se compartían en Twitter y los módulos Metasploit estaban disponibles, según NCC Group.

Las grandes empresas utilizan los dispositivos BIP-IP de F5 como controlador de entrega de aplicaciones, y F5 dice que 48 compañías en Fortune 50 usan los dispositivos.

La vulnerabilidad (CVE-2020-5902) se produce en la TMUI, también conocida como la utilidad de configuración, que brinda a los atacantes no autenticados con acceso a la interfaz la capacidad de ejecutar código arbitrario, incluida la capacidad de crear archivos, eliminar y deshabilitar el servicio.

La vulnerabilidad podría haber afectado al menos a 8,000 dispositivos en junio, según Beneficial Systems. La mayoría de los dispositivos vulnerables (40%) estaban en los Estados Unidos, mientras que el 16% estaban en China. Otros países con instalaciones importantes son Taiwán, Canadá e Indonesia.

Los ataques han intentado explotar dispositivos Large-IP vulnerables y descargar el archivo de contraseña. También se observaron al menos dos cargas útiles por etapas, que inicialmente comprometen el dispositivo y luego intentan descargar e instalar otro computer software malicioso para extender el handle.

La ingeniería inversa rápida del parche no es sorprendente porque el exploit es muy easy, según el Grupo NCC. Con tres caracteres, un atacante puede intentar ejecutar código en lo que debería ser un directorio inalcanzable.

«(I) t puede describirse como una vulnerabilidad transversal del directorio», afirmó el Grupo NCC en su análisis. «Esta capacidad combinada con la funcionalidad nativa del dispositivo proporciona la capacidad de acceder a archivos, cargar archivos y ejecutar código sin autenticación».

Si bien al menos 8,400 dispositivos Big-IP tenían la interfaz de management accesible desde Internet a fines de junio, a partir del 6 de julio, menos de 2,000 dispositivos parecían ser vulnerables, según Ullrich de SANS.

La vulnerabilidad de la infraestructura de red se make una semana después de que otro fabricante well known de dispositivos de seguridad perimetral, Palo Alto Networks, advirtió que sus dispositivos tenían una vulnerabilidad en la forma en que procesan el Lenguaje de marcado de aserción de seguridad (SAML), lo que permite a un atacante eludir la seguridad.

Debido a que los dispositivos son más fáciles de probar en estos días, puede haber más vulnerabilidades en proceso, dice Ullrich.

«Existen todos estos dispositivos perimetrales, y los investigadores realmente se han centrado en ellos, porque son mucho más fáciles de probar en estos días», dice. «La mayoría de los proveedores ofrecen dispositivos virtuales que puede descargar y probar y no tener que desembolsar mucho dinero».

contenido relacionado

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Studying, MIT&#39s Know-how Evaluation, Preferred Science y Wired Information. Cinco premios para periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia first