PoC para vulnerabilidade crítica em dispositivos BIG‑IP da F5 está sendo utilizada por cibercriminosos

Cibercriminosos estão tentando explorar ativamente uma vulnerabilidade de alta gravidade nos dispositivos BIG-IP da F5 Networks que foi corrigida há pouco mais de dez dias pela empresa.

Cibercriminosos estão tentando explorar ativamente uma vulnerabilidade de alta gravidade nos dispositivos BIG-IP da F5 Networks que foi corrigida há pouco mais de dez dias pela empresa.

No último dia 10 de março, a empresa F5 Networks publicou um alerta com os detalhes de uma atualização na qual corrigiu um total de 21 falhas de segurança nos produtos BIG-IP e BIG-IQ, incluindo quatro vulnerabilidades críticas com pontuações de 9,0, 9,8 e 9,9 de acordo à escala de gravidade CVSS. Infelizmente, no dia 18 de março, os pesquisadores já haviam detectado várias tentativas de exploração de pelo menos uma das vulnerabilidades críticas.

Especificamente, a CVE-2021-22986, uma vulnerabilidade de execução remota de código com uma gravidade de 9,8 que não requer autenticação e que está na interface REST do iControl. A falha está presente no BIG-IP e no BIG-IQ e pode fazer com que um cibercriminosos possa comprometer completamente o sistema, o que inclui a criação ou exclusão de arquivos, execução de comandos nos dispositivos, desativação de serviços ou a realização de ataques DDoS.

A partir do lançamento do patch, os pesquisadores desenvolveram e publicaram provas de conceito após fazer engenharia reversa ao patch, ou seja, era de se esperar que os cibercriminosos começassem a lançar ataques tentando explorar a falha em computadores sem a atualização instalada.

No dia 10 de março, a F5 garantiu que na época não tinham conhecimento de casos de exploração de nenhuma das vulnerabilidades corrigidas. No dia 18 de março, pesquisadores da empresa NCC confirmaram a detecção da exploração dessa vulnerabilidade por meio de diferentes PoCs.

Por sua vez, a atividade na Internet foi observada com varreduras massivas em diferentes partes do mundo em busca de terminais da F5 que são vulneráveis ​​a CVE-2021-22986.

Além disso, outras empresas começaram a ver uma variante da botnet Mirai tentando explorar essa CVE, embora não se saiba se conseguiram analisá-la de forma eficaz, enquanto outros pesquisadores detectaram a exploração dessa falha em empresas latino-americanas que tentam instalar o XMRig, um minerador de criptomoedas bastante utilizado por cibercriminosos.

Deve-se observar que os produtos da F5 Networks são usados ​​por órgãos governamentais e importantes empresas em setores como financeiro, saúde ou telecomunicações, por exemplo, portanto, o alcance de um ataque a esses sistemas pode ter consequências significativas.

Algo semelhante aconteceu com outra falha de segurança em dispositivos BIG-IP em julho de 2020, quando descobriram que cibercriminosos estavam explorando uma vulnerabilidade crítica de execução remota de código, por isso é muito importante instalar a atualização.

Newsletter

Discussão