Alguns dias após a descoberta de uma vulnerabilidade crítica na execução remota de código nos dispositivos BIG-IP da F5, foram registradas tentativas de ataque que tentam explorar a falha.
A empresa F5 Networks lançou na semana passada um patch que corrige uma vulnerabilidade crítica (10 em 10, de acordo com a escala de gravidade do CVSSv3) que foi descoberta, segundo explicou a empresa, na Traffic Management User Interface (TMUI), que é um utilitário de configuração do BIG-IP, seu application delivery controller (ADC).
A falha (CVE-2020-5902) pode permitir que um atacante obtenha controle total do sistema e exporte os dados de login do usuário ao acessar a TMUI sem autenticação, criar ou excluir arquivos, desativar serviços ou até mesmo executar código remotamente.
Vale ressaltar que o BIG-IP é um dispositivo de rede multiuso muito popular usado por muitas empresas que lidam com informações confidenciais em todo o mundo. Os dispositivos BIG-IP são usados nas redes de provedores de serviços governamentais e de Internet (ISP), bem como pelos bancos em todo o mundo e em muitas redes comerciais. De acordo com a F5, este produto é usado por 48 empresas que compõem a lista da Fortune 50. De fato, dada a criticidade da vulnerabilidade e seu potencial impacto, o Comando Cibernético dos Estados Unidos respondeu ao aviso emitido pela empresa e orientou que os usuários realizem a instalação do patch que corrige a falha o mais rápido possível.
URGENT: Patching CVE-2020-5902 and 5903 should not be postponed over the weekend. Remediate immediately. https://t.co/UBKECuN7Vv
— USCYBERCOM Cybersecurity Alert (@CNMF_CyberAlert) July 3, 2020
Dois dias após o lançamento do patch que corrige a vulnerabilidade, começaram a ser publicadas provas de conceito (PoCs), demonstrando como é fácil explorar a falha e entrar nesses dispositivos para filtrar informações e executar comandos em dispositivos vulneráveis. Três dias após a divulgação da falha, começaram a ser registradas atividades maliciosas que tentam explorar a vulnerabilidade.
Segundo o portal ZDnet, no último dia 04, o pesquisador do NCC Group, Rich Warren, afirmou a existência de atividades tentando explorar a falha CVE-2020-5902 com o objetivo de roubar senhas de administrador de dispositivos comprometidos.
Ok, we are seeing active exploitation of CVE-2020-5902
Patch it today
— Rich Warren (@buffaloverflow) July 4, 2020
Segundo o pesquisador, que explicou através de sua conta no Twitter, os exploits detectados são simples e é de se esperar que surjam outros em um curto prazo. Nas últimas horas, o pesquisador afirma que detectou um aumento nas tentativas remotas de execução de código e alguns mineradores de criptomoedas.
We’ve also had, unsurprisingly, a few coinminers and what looks like DvrHelper (a Mirai variant)https://t.co/WuIT5bPvnH pic.twitter.com/xVn5v9tNJn
— Rich Warren (@buffaloverflow) July 6, 2020
De acordo com os resultados mostrados pela ferramenta Shodan, atualmente o número de dispositivos vulneráveis a falha CVE-2020-5902 excede os 8.400 e a grande maioria está nos Estados Unidos e na China.
Recomendamos que as empresas que possam ser afetadas por essa vulnerabilidade analisem a lista de versões afetadas e atualizem os seus dispositivos o mais rápido possível.
Discussão