I cyber criminali stanno cercando attivamente di sfruttare una delle falle critiche dei dispositivi di rete BIG-IP e BIG-IQ di F5 corrette la seconda settimana di marzo. A rilevare i massivi tentativi di attacco è la società di sicurezza informatica NCC Group, che fa principalmente riferimento alla vulnerabilità CVE-2021-22986.

Fra quelle corrette era la più grave, sia per il punteggio CVSS di 9.8, sia perché è l'unica, fra quelle corrette, a interessare sia i dispositivi BIG-IP nelle versioni 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 e 11.6.5.3, sia quelli BIG-IQ nelle versioni 8.0.0, 7.1.0.3 e 7.0.0.2. Parliamo di un bug RCE (Remote Code Execution) di pre-autenticazione, quindi non richiede alcuna interazione da parte di un utente.

Consente a un attaccante non autenticato con accesso di rete all'interfaccia iControl REST di eseguire comandi di sistema arbitrari, creare o eliminare file e disabilitare i servizi. Non richiede l'autenticazione. Se lo sfruttamento riuscisse, i sistemi vulnerabili risulterebbero del tutto compromessi perché sarebbero soggetti all'esecuzione di codice da remoto, e a un buffer overflow che porterebbe sfociare in un attacco DoS, a movimenti laterali nella rete interna e all'intercettazione del traffico delle applicazioni controller.

All'annuncio delle patch la situazione sembrava tranquilla perché non risultavano tentativi di sfruttamento. Come quasi sempre accade con le apparecchiature di rete, è bastata la pubblicazione delle patch per scatenare il cybercrime. Gli attaccanti contano sul fatto che molte aziende sono ritardatarie nell'installazione delle patch.
In questo caso gli attacchi sono iniziati in massa a partire dalla settimana successiva. Come sottolineano NCC Group e Bad Packets, "a partire dal 18 marzo 2021 abbiamo osservato molteplici tentativi di sfruttamento contro la nostra infrastruttura honeypot". La cattiva novella non arriva da sola: secondo i ricercatori "probabilmente sarà presto disponibile un exploit pubblico".

Significa che gli attacchi potranno essere automatizzati e che anche i criminali informatici meno abili potranno tentare l'assalto alle infrastrutture di rete interessate. È da annotare che sono numerosi i ricercatori che hanno già condiviso il codice di exploit proof-of-concept dopo il reverse engineering della patch BIG-IP, quindi è solo questione di tempo.

Precedenti pericolosi

Per comprendere quanto sia urgente e importante installare immediatamente le correzioni per chiudere queste ultime falle basta uno sguardo al recente passato. Era il 1 luglio 2020 quando F5 pubblicò le patch per la vulnerabilità critica RCE CVE-2020-5902. Tre giorni dopo iniziarono gli attacchi.

Il gruppo Pioneer Kitten sostenuto dall'Iran iniziò a prendere di mira le aziende con dispositivi BIG-IP senza patch. Anche gruppi finanziati dalla Cina fecero altrettanto. FBI e SISA dovettero scendere in campo per spingere le aziende a proteggersi da un'ondata di attacchi efferati.