Error crítico de BIG-IP F5 bajo ataques activos después de que PoC Exploit se publicara en línea

Atacantes están explotando una vulnerabilidad crítica recientemente parcheada en dispositivos F5 que aún no se han actualizado.

Las fallas afectan las versiones 11.6 o 12.xy más recientes de BIG-IP, con una ejecución de código remoto crítico (CVE-2021-22986) que también afecta las versiones 6.xy 7.x de BIG-IQ. CVE-2021-22986 (puntuación CVSS: 9,8) destaca por el hecho de que se trata de una vulnerabilidad de ejecución remota de comandos no autenticada que afecta a la interfaz REST de iControl, lo que permite a un atacante ejecutar comandos arbitrarios del sistema, crear o eliminar archivos y deshabilitar servicios sin el necesidad de cualquier autenticación.

La explotación exitosa de estas vulnerabilidades podría conducir a un compromiso total de los sistemas susceptibles, incluida la posibilidad de ejecución remota de código, así como desencadenar un desbordamiento del búfer, lo que provocaría un ataque de denegación de servicio (DoS).

Si bien F5 dijo que no estaba al tanto de ninguna explotación pública de estos problemas el 10 de marzo, los investigadores del Grupo NCC dijeron que ahora han encontrado evidencia de «explotación de cadena completa de las vulnerabilidades de F5 BIG-IP / BIG-IQ iControl REST API CVE-2021 -22986 «a raíz de múltiples intentos de explotación contra su infraestructura honeypot.

Además, el equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks dijo que encontró intentos de explotar CVE-2021-22986 para instalar una variante de la botnet Mirai. Pero no está claro de inmediato si esos ataques tuvieron éxito.

Dada la popularidad de BIG-IP / BIG-IQ en las redes corporativas y gubernamentales, no debería sorprender que esta sea la segunda vez en un año que los dispositivos F5 se han convertido en un objetivo lucrativo para la explotación.

CISA: los investigadores instan a actualizar

La Agencia de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha  instado a las  empresas que utilizan BIG-IP y BIG-IQ a corregir la falla crítica de F5, junto con otro error que se rastrea como CVE-2021-22987 . Esta falla, con una calificación CVSS de 9.9, afecta la interfaz de usuario de administración de tráfico (TMUI) de la infraestructura, también conocida como la utilidad de configuración. Cuando se ejecuta en modo Dispositivo, TMUI tiene una vulnerabilidad RCE autenticada en páginas no reveladas.

El escenario es particularmente urgente ya que F5 proporciona redes empresariales a algunas de las compañías de tecnología más grandes del mundo, incluidas Facebook, Microsoft y Oracle, así como a un tesoro de compañías Fortune 500, incluidas algunas de las instituciones financieras e ISP más grandes del mundo.

«El F5 BIG-IP es un objetivo muy jugoso debido al hecho de que puede manejar datos altamente sensibles», dijo Craig Young, investigador principal de seguridad de Tripwire en un correo electrónico. «Un atacante con control total sobre un dispositivo de equilibrio de carga también puede tomar el control de las aplicaciones web que se ofrecen a través de él».