Falle F5 BIG-IP: iniziati gli attacchi, a rischio chi è senza patch

Una settimana dopo la pubblicazione delle patch sono stati rilevati molteplici tentativi di sfruttamento. È urgente installare le patch.

Business Vulnerabilità
I cyber criminali stanno cercando attivamente di sfruttare una delle falle critiche dei dispositivi di rete BIG-IP e BIG-IQ di F5 corrette la seconda settimana di marzo. A rilevare i massivi tentativi di attacco è la società di sicurezza informatica NCC Group, che fa principalmente riferimento alla vulnerabilità CVE-2021-22986.

Fra quelle corrette era la più grave, sia per il punteggio CVSS di 9.8, sia perché è l'unica, fra quelle corrette, a interessare sia i dispositivi BIG-IP nelle versioni 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 e 11.6.5.3, sia quelli BIG-IQ nelle versioni 8.0.0, 7.1.0.3 e 7.0.0.2. Parliamo di un bug RCE (Remote Code Execution) di pre-autenticazione, quindi non richiede alcuna interazione da parte di un utente.

Consente a un attaccante non autenticato con accesso di rete all'interfaccia iControl REST di eseguire comandi di sistema arbitrari, creare o eliminare file e disabilitare i servizi. Non richiede l'autenticazione. Se lo sfruttamento riuscisse, i sistemi vulnerabili risulterebbero del tutto compromessi perché sarebbero soggetti all'esecuzione di codice da remoto, e a un buffer overflow che porterebbe sfociare in un attacco DoS, a movimenti laterali nella rete interna e all'intercettazione del traffico delle applicazioni controller.

All'annuncio delle patch la situazione sembrava tranquilla perché non risultavano tentativi di sfruttamento. Come quasi sempre accade con le apparecchiature di rete, è bastata la pubblicazione delle patch per scatenare il cybercrime. Gli attaccanti contano sul fatto che molte aziende sono ritardatarie nell'installazione delle patch.
router2In questo caso gli attacchi sono iniziati in massa a partire dalla settimana successiva. Come sottolineano NCC Group e Bad Packets, "a partire dal 18 marzo 2021 abbiamo osservato molteplici tentativi di sfruttamento contro la nostra infrastruttura honeypot". La cattiva novella non arriva da sola: secondo i ricercatori "probabilmente sarà presto disponibile un exploit pubblico".

Significa che gli attacchi potranno essere automatizzati e che anche i criminali informatici meno abili potranno tentare l'assalto alle infrastrutture di rete interessate. È da annotare che sono numerosi i ricercatori che hanno già condiviso il codice di exploit proof-of-concept dopo il reverse engineering della patch BIG-IP, quindi è solo questione di tempo.

Precedenti pericolosi

Per comprendere quanto sia urgente e importante installare immediatamente le correzioni per chiudere queste ultime falle basta uno sguardo al recente passato. Era il 1 luglio 2020 quando F5 pubblicò le patch per la vulnerabilità critica RCE CVE-2020-5902. Tre giorni dopo iniziarono gli attacchi.

Il gruppo Pioneer Kitten sostenuto dall'Iran iniziò a prendere di mira le aziende con dispositivi BIG-IP senza patch. Anche gruppi finanziati dalla Cina fecero altrettanto. FBI e SISA dovettero scendere in campo per spingere le aziende a proteggersi da un'ondata di attacchi efferati.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori