Los atacantes detectan fallas críticas en los equipos de redes populares


La vulnerabilidad, que recibió el puntaje de gravedad más alto posible, deja a miles de dispositivos en riesgo de ser tomados por atacantes remotos. Un parche está disponible.

F5 Networks, uno de los principales proveedores mundiales de equipos de redes empresariales, recientemente ha publicó un aviso de seguridad sobre una vulnerabilidad crítica que afecta sus dispositivos de red multipropósito Significant-IP y «puede resultar en un compromiso total del sistema». La compañía también lanzó un parche para tapar el agujero de seguridad, mientras que varios expertos en seguridad informan que los atacantes ya están implementando exploits que apuntan a la falla.

Evidencia de delincuentes que intentan activamente explotar la vulnerabilidad fue grabado ya el 4 de julioth, con los primeros intentos saliendo de Italia. El Grupo NCC también registró una mayor actividad en los próximos días en los honeypots que había establecido para atraer a posibles atacantes.

Otros investigadores han compartido públicamente exploits de prueba de concepto (PoC) para la vulnerabilidad, mostrando lo fácil que es comprometer los dispositivos sin parches.

Indexado como CVE-2020-5902, la vulnerabilidad del código de ejecución remota (RCE) en la Interfaz de usuario de gestión de tráfico (TMUI) de una línea de productos Huge-IP tiene el puntaje «perfecto» de 10. en el Sistema de puntuación de vulnerabilidad común (CVSS) escala de gravedad. Según Mikhail Klyuchnikov, investigador de Optimistic Systems que descubrió la falla crítica, un hacker con acceso a la utilidad de configuración Large-IP podría explotar el dispositivo de forma remota sin autenticación.

“El atacante puede crear o eliminar archivos, deshabilitar servicios, interceptar información, ejecutar comandos arbitrarios del sistema y código Java, comprometer completamente el sistema y perseguir objetivos adicionales, como la crimson interna. RCE en este caso es el resultado de fallas de seguridad en múltiples componentes, como uno que permite la explotación transversal del directorio ”, agregó.

Klyuchnikov también descubrió otra vulnerabilidad, aunque menos severa, en Significant-IP que obtuvo un puntaje de gravedad de «solo» 7.5. Seguido como CVE-2020-5903, La vulnerabilidad de secuencias de comandos entre sitios en la interfaz de configuración Significant-IP podría permitir que un cibercriminal ejecute código malicioso con los mismos derechos que un usuario conectado. La explotación exitosa de la falla podría incluso llevar a un compromiso full del dispositivo.

Si bien F5 Networks reveló las vulnerabilidades y lanzó parches el miércoles pasado, muchos dispositivos permanecen sin parchear. El Comando Cibernético de los Estados Unidos también emitió una alerta sobre las fallas e instó a todos a que instalen las actualizaciones a toda prisa. F5 Networks cuenta 48 de los Fortune 50 entre sus clientes y sus dispositivos también son utilizados por los gobiernos.

En el momento de la advertencia, una búsqueda de Shodan arrojó más de 8,000 dispositivos Large-IP conectados a Online. Si su empresa utiliza alguno de los dispositivos afectados, debe parchearlos de inmediato. Las advertencias de seguridad de F5 para ambos CVE-2020-5902 y CVE-2020-5903 presenta la lista completa de dispositivos afectados y pasos de reparación.








Enlace a la noticia original