Atacantes exploram vulnerabilidade crítica em dispositivos BIG‑IP da F5 | WeLiveSecurity

Atacantes exploram vulnerabilidade crítica em dispositivos BIG‑IP da F5

Alguns dias após a descoberta de uma vulnerabilidade crítica na execução remota de código nos dispositivos BIG-IP da F5, foram registradas tentativas de ataque que tentam explorar a falha.

Alguns dias após a descoberta de uma vulnerabilidade crítica na execução remota de código nos dispositivos BIG-IP da F5, foram registradas tentativas de ataque que tentam explorar a falha.

A empresa F5 Networks lançou na semana passada um patch que corrige uma vulnerabilidade crítica (10 em 10, de acordo com a escala de gravidade do CVSSv3) que foi descoberta, segundo explicou a empresa, na Traffic Management User Interface (TMUI), que é um utilitário de configuração do BIG-IP, seu application delivery controller (ADC).

A falha (CVE-2020-5902) pode permitir que um atacante obtenha controle total do sistema e exporte os dados de login do usuário ao acessar a TMUI sem autenticação, criar ou excluir arquivos, desativar serviços ou até mesmo executar código remotamente.

Vale ressaltar que o BIG-IP é um dispositivo de rede multiuso muito popular usado por muitas empresas que lidam com informações confidenciais em todo o mundo. Os dispositivos BIG-IP são usados ​​nas redes de provedores de serviços governamentais e de Internet (ISP), bem como pelos bancos em todo o mundo e em muitas redes comerciais. De acordo com a F5, este produto é usado por 48 empresas que compõem a lista da Fortune 50. De fato, dada a criticidade da vulnerabilidade e seu potencial impacto, o Comando Cibernético dos Estados Unidos respondeu ao aviso emitido pela empresa e orientou que os usuários realizem a instalação do patch que corrige a falha o mais rápido possível.

Dois dias após o lançamento do patch que corrige a vulnerabilidade, começaram a ser publicadas provas de conceito (PoCs), demonstrando como é fácil explorar a falha e entrar nesses dispositivos para filtrar informações e executar comandos em dispositivos vulneráveis. Três dias após a divulgação da falha, começaram a ser registradas atividades maliciosas que tentam explorar a vulnerabilidade.

Segundo o portal ZDnet, no último dia 04, o pesquisador do NCC Group, Rich Warren, afirmou a existência de atividades tentando explorar a falha CVE-2020-5902 com o objetivo de roubar senhas de administrador de dispositivos comprometidos.

Segundo o pesquisador, que explicou através de sua conta no Twitter, os exploits detectados são simples e é de se esperar que surjam outros em um curto prazo. Nas últimas horas, o pesquisador afirma que detectou um aumento nas tentativas remotas de execução de código e alguns mineradores de criptomoedas.

De acordo com os resultados mostrados pela ferramenta Shodan, atualmente o número de dispositivos vulneráveis ​​a falha CVE-2020-5902 excede os 8.400 e a grande maioria está nos Estados Unidos e na China.

Recomendamos que as empresas que possam ser afetadas por essa vulnerabilidade analisem a lista de versões afetadas e atualizem os seus dispositivos o mais rápido possível.

Newsletter

Discussão