Atacantes están explotando vulnerabilidad crítica en dispositivos BIG‑IP de F5

Atacantes están explotando una vulnerabilidad crítica en dispositivos BIG-IP de F5

A pocos días del hallazgo de una vulnerabilidad crítica de ejecución remota de código en dispositivos BIG-IP de F5, se registraron intentos de ataque aprovechando el fallo. Se recomienda parchear cuanto antes.

La compañía F5 Networks lanzó la semana pasada un parche que repara una vulnerabilidad crítica (puntaje de 10 sobre 10 de acuerdo con la escala de severidad de CVSSv3) que fue descubierta, según explicó la compañía, en la Traffic Management User Interface (TMUI), que es una utilidad de configuración de BIG-IP, su controlador de entrega de aplicaciones (ADC, por sus siglas en inglés).

El fallo (CVE-2020-5902) puede permitir a un atacante obtener control total del sistema y exportar las credenciales de usuario al poder acceder al TMUI sin autenticación y crear o eliminar archivos, deshabilitar servicios o incluso ejecutar código de manera remota.

Vale la pena destacar que BIG-IP es un dispositivo de red multipropósito muy popular que es utilizado por una gran cantidad de compañías que manejan información sensible a lo largo del mundo. Los dispositivos BIG-IP son utilizados tanto en redes gubernamentales y de proveedores de servicios de Internet (ISPs), así como por bancos a lo largo del mundo y muchas redes empresariales. Según explica F5 en su sitio web, este producto es utilizado por 48 compañías que integran la lista Fortune 50. De hecho, dada la criticidad de la vulnerabilidad y su potencial impacto, el Cibercomando de Estados Unidos replicó la advertencia emitida por la compañía y llamó a instalar el parche que repara el fallo lo antes posible.

Dos días después de que se lanzara el parche que repara la vulnerabilidad comenzaron a publicarse pruebas de concepto (PoCs) que demostraban lo sencillo que es explotarla e ingresar en estos dispositivos para exfiltrar información y ejecutar comando en los dispositivos vulnerables, mientras que al tercer día de hacerse público el fallo comenzó a registrarse actividad maliciosa intentando explotar la vulnerabilidad.

Según afirmó el 4 de julio Rich Warren, un investigador del NCC Group, el fin de semana comenzó a detectarse actividad intentando explotar la CVE-2020-5902 con el objetivo de robar contraseñas de administrador de dispositivos comprometidos, publicó ZDnet.

Según explicó el investigador a través de su cuenta de Twitter, los exploits detectados son simples y es de esperarse que en el corto plazo surgan nuevos. En las últimas horas el investigador afirma que detectó un incremento en los intentos de ejecución remota de código y también algunos mineros de criptomonedas.

De acuerdo con los resultados que muestra la herramienta Shodan, actualmente la cantidad de dispositivos vulnerables a la CVE-2020-5902 superan los 8.400 y en su gran mayoría están en Estados Unidos y China.

Fuente: welivesecurity.com

Comments are closed.