Vulnerabilidad crítica de F5 BIG-IP explotada para borrar dispositivos
La semana pasada, F5 reveló una vulnerabilidad rastreada como CVE-2022-1388 que permite a los atacantes remotos ejecutar comandos en dispositivos de red BIG-IP como ‘root’ sin autenticación. Debido a la naturaleza crítica del error, F5 instó a los administradores a aplicar actualizaciones lo antes posible.
Unos días más tarde, los investigadores comenzaron a publicar exploits en Twitter y GitHub, y los actores de amenazas pronto los usaron en ataques a través de Internet.
Si bien la mayoría de los ataques se han utilizado para eliminar webshells para el acceso inicial a las redes, robar claves SSH y enumerar información del sistema, SANS Internet Storm Center vio dos ataques que se dirigieron a dispositivos BIG-IP de una manera mucho más nefasta.
SANS le dijo a BleepingComputer que sus honeypots vieron dos ataques provenientes de la dirección IP 177.54.127 [.] 111 que ejecuta el comando ‘rm -rf /*’ en el dispositivo BIG-IP de destino.
guess we no longer have to worry about CVE-2022-1388 if this makes the rounds… @f5 #bigip pic.twitter.com/DS7TRpj15t
— SANS ISC (@sans_isc) May 9, 2022
Este comando intentará borrar todos los archivos en el sistema de archivos Linux de los dispositivos BIG-IP cuando se ejecute.
Como el exploit otorga a los atacantes privilegios de root en los sistemas operativos Linux que alimentan dispositivos BIG-IP, el comando rm -rf /* podrá eliminar casi todos los archivos, incluidos los archivos de configuración necesarios para que el dispositivo funcione correctamente.
Después de publicar nuestra historia, el investigador de seguridad Kevin Beaumont confirmó que los dispositivos estaban siendo borrados esta noche.
«Puedo confirmar. Los dispositivos del mundo real se están borrando esta noche, muchos en Shodan han dejado de responder», tuiteó Beaumont.
Afortunadamente, estos ataques destructivos no parecen estar generalizados, y la mayoría de los actores de amenazas buscan beneficiarse de la violación de los dispositivos en lugar de causar daños.
Las firmas de inteligencia de amenazas de ciberseguridad Bad Packets y GreyNoise dijeron a BleepingComputer que no habían visto ningún ataque destructivo en sus honeypots.
El investigador kimber de GreyNoise dijo que en su mayoría ven que los exploits dejan caer webshells, exfiltran configuraciones o ejecutan comandos para crear cuentas de administrador en los dispositivos.
Si bien los ataques destructivos vistos por SANS pueden ser raros, el hecho de que estén sucediendo debería ser todo el incentivo que un administrador necesita para actualizar sus dispositivos a los últimos niveles de parches.
Cuando nos pusimos en contacto con F5 sobre estos ataques destructivos, le dijeron a BleepingComputer que están en contacto con SANS y recomiendan encarecidamente a los administradores que no expongan la interfaz de administración BIG-IP a Internet.
«Hemos estado en contacto con SANS y estamos investigando el problema. Si los clientes aún no lo han hecho, les instamos a que actualicen a una versión fija de BIG-IP o implementen una de las mitigaciones detalladas en el aviso de seguridad. Recomendamos encarecidamente a los clientes que nunca expongan su interfaz de administración BIG-IP (TMUI) a la Internet pública y que se aseguren de que se implementen los controles adecuados para limitar el acceso». – F5
Sin embargo, es importante tener en cuenta que Beaumont descubrió que los ataques también afectan a los dispositivos en puertos que no son de administración si están mal configurados.
This appears to be undergoing early mass exploitation for shell dropping. If you misconfigure the appliance and ‘allow default’ on SelfIP it’s also vuln on non-mgmt port.
— Kevin Beaumont (@GossiTheDog) May 9, 2022
Para aquellos afectados por ataques en sus dispositivos BIG-IP, F5 le dijo a BleepingComputer que su Equipo de Respuesta a Incidentes de Seguridad está disponible las 24 horas del día, los siete días de la semana, y puede ser contactado al (888) 882-7535, (800) 11-275-435, o en línea.
Para los administradores de F5 BIG-IP preocupados de que sus dispositivos ya estuvieran comprometidos, el fundador de Sandfly Security, Craig Rowland, ofrece licencias de prueba que pueden usar para verificar sus dispositivos.
Fuente: BleepingComputer