Vulnerabilidades de F5 BIG-IP activamente explotadas

Casi 10 días después de que la empresa de seguridad de aplicaciones F5 Networks lanzara parches para vulnerabilidades críticas en sus productos BIG-IP y BIG-IQ, los adversarios comenzaron a escanear en masa de manera oportunista y apuntar a dispositivos de red expuestos y sin parches para ingresar a las redes empresariales.

La noticia del desarrollo de la explotación in the wild llega inmediatamente después de un código de explotación de prueba de concepto que apareció en línea a principios de esta semana mediante la ingeniería inversa del parche de software Java en BIG-IP. Se dice que las exploraciones masivas se han disparado desde el 18 de marzo.

Las fallas afectan las versiones 11.6 o 12.xy más recientes de BIG-IP, con una ejecución de código remoto crítico (CVE-2021-22986) que también afecta las versiones 6.xy 7.x de BIG-IQ. CVE-2021-22986 (puntuación CVSS: 9,8) destaca por el hecho de que se trata de una vulnerabilidad de ejecución remota de comandos no autenticada que afecta a la interfaz REST de iControl, lo que permite a un atacante ejecutar comandos arbitrarios del sistema, crear o eliminar archivos y deshabilitar servicios sin el necesidad de cualquier autenticación.

La explotación exitosa de estas vulnerabilidades podría conducir a un compromiso total de los sistemas vulnerables, incluida la posibilidad de ejecución remota de código, así como desencadenar un desbordamiento del búfer, lo que provocaría un ataque de denegación de servicio (DoS).

Dada la popularidad de BIG-IP / BIG-IQ en las redes corporativas y gubernamentales, no debería sorprender que esta sea la segunda vez en un año que los dispositivos F5 se han convertido en un objetivo lucrativo para la explotación.

En julio pasado, la compañía abordó una falla crítica similar (CVE-2020-5902), luego de la cual fue abusada por grupos de piratas informáticos patrocinados por el estado iraní y chino, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) a emitir una alerta advirtiendo sobre una “amplia actividad de escaneo para la presencia de esta vulnerabilidad en todos los departamentos y agencias federales”.

Prueba de Concepto: https://github.com/dorkerdevil/CVE-2021-22986-Poc

Las vulnerabilidades críticas afectan a las versiones 11.6 y 12.x en adelante de Big-IP, mientras que sólo una, CVE-2021-22986, afecta igualmente a las versiones 6 y 7 de Big-IQ:

  • CVE-2021-22986: Ejecución remota de código no autenticada en el interface REST iControl (PoC)
  • CVE-2021-22987, 22988, 22989 y 22990: Ejecución remota de código en el TMUI (Interfaz de usuario de gestión de tráfico).
  • CVE-2021-22991: La normalización de URI en la gestión de tráfico en peticiones a servidores virtuales puede generar un desbordamiento de buffer, resultando en denegación de servicio, evasión de reglas de acceso o ejecución remota de código.
  • CVE-2021-22992: Una respuesta HTTP maliciosa, bajo determinadas circunstancias, puede generar un desbordamiento de buffer, provocando una denegación de servicio o ejecución remota de código.

Mas informacion:

Fuente: Critical F5 BIG-IP Bug Under Active Attacks After PoC Exploit Posted Online (thehackernews.com)