Martedì, la Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto una vulnerabilità che colpisce il prodotto BIG-IP di F5
Martedì, la Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto una vulnerabilità che colpisce il prodotto BIG-IP di F5 al suo elenco di vulnerabilità sfruttate note, a seguito dei rapporti all’inizio della settimana secondo cui veniva attivamente sfruttato.
La scorsa settimana CISA ha esortato i clienti di F5 a correggere la vulnerabilità, che ha un punteggio CVSS di 9,8 e potrebbe consentire a un utente malintenzionato di “prendere il controllo di un sistema interessato”.
Durante il fine settimana, diversi ricercatori hanno rilasciato codice proof-of-exploit e lunedì Bleeping Computer e Ars Technica hanno confermato i rapporti secondo cui gli hacker avevano iniziato a sfruttare la vulnerabilità, che è etichettata come CVE-2022-1388.
Il ricercatore di sicurezza di Cronup Germán Fernández ha affermato di vedere uno sfruttamento “massiccio” del bug, con gli hacker che installano WebShell “come backdoor per mantenere l’accesso” anche dopo che la vulnerabilità è stata corretta.
Fernández in seguito ha affermato di aver visto più di 300 dispositivi F5 compromessi
L’esperto di ybersecurity Kevin Beaumont ha anche confermato che il bug viene sfruttato in natura. “Una cosa da notare: i tentativi di exploit che ho visto finora, non sull’interfaccia di gestione. Se hai configurato F5 box come sistema di bilanciamento del carico e firewall tramite IP autonomo, è anche vulnerabile, quindi potrebbe creare confusione”, ha aggiunto.
In seguito ha affermato che i dispositivi venivano cancellati a causa della vulnerabilità.
F5 ha rilasciato un avviso sul bug la scorsa settimana e ha affermato che potrebbe consentire a un utente malintenzionato con accesso tramite la porta di gestione del sistema BIG-IP di eseguire comandi di sistema arbitrari, creare o eliminare file o disabilitare servizi.
I prodotti BIG-IP, che includono software e hardware, sono ampiamente utilizzati dalle aziende per mantenere le loro applicazioni attive e funzionanti. Il bug ruota attorno al componente iControl REST, che aiuta a gestire l’interazione “tra utente o script e dispositivo F5”, secondo l’azienda.
F5 ha affermato che le versioni BIG-IP da 16.1.0 a 16.1.2, da 15.1.0 a 15.1.5, da 14.1.0 a 14.1.4, da 13.1.0 a 13.1.4, da 12.1.0 a 12.1.6 e da 11.6.1 a 11.6.5 sono interessati.
Correzioni pubblicate da F5 per ciascuna versione, ad eccezione delle versioni da 12.1.0 a 12.1.6 e da 11.6.1 a 11.6.5. Ha esortato coloro che utilizzano queste versioni a eseguire l’aggiornamento a una versione con la correzione.
La CISA ha dato al bug una data di correzione del 30 maggio, ma una ricerca su Shodan ha rivelato più di 2.500 istanze esposte in tutto il mondo. Alcuni esperti hanno affermato che alcuni di questi potrebbero essere “honeypot” di ricercatori che esaminano gli hacker che tentano di sfruttare la vulnerabilità.
Diverse società di sicurezza informatica, tra cui Scythe e Randori, hanno rilasciato guide e spiegazioni per aiutare coloro che tentano di affrontare il problema.
CISA ha anche aggiunto altri cinque bug al catalogo la scorsa settimana risolvendo diversi bug nei prodotti Apple, Microsoft e OpenSSL.
