CISA insta a las organizaciones a parchear la vulnerabilidad F5 BIG-IP explotada activamente

Vulnérabilité F5 BIG-IP Noticias

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado la falla F5 BIG-IP recientemente revelada a su Catálogo de vulnerabilidades explotadas conocidas siguientes informes de abuso activo en la naturaleza.

La falla, a la que se le asignó el identificador CVE-2022-1388 (puntaje CVSS: 9.8), se refiere a un error crítico en el extremo REST de BIG-IP iControl que proporciona a un adversario no autenticado un método para ejecutar comandos arbitrarios del sistema.

«Un atacante puede usar esta vulnerabilidad para hacer casi cualquier cosa que quiera en el servidor vulnerable», Horizon3.ai dicho en un informe «Esto incluye realizar cambios de configuración, robar información confidencial y moverse lateralmente dentro de la red de destino».

Los parches y mitigaciones para la falla se anunciaron en F5 el 4 de mayo, pero ha sido sometido para En la naturaleza explotación durante la semana pasada, con atacantes que intentaron instalar un shell web que otorga acceso de puerta trasera a los sistemas objetivo.

«Debido a la facilidad de explotar esta vulnerabilidad, el código público de explotación y el hecho de que proporciona acceso a la raíz, es probable que aumenten los intentos de explotación», dijo Ron Bowes, investigador de seguridad de Rapid7. anotado. «La explotación generalizada se ve algo mitigada por la número pequeño de dispositivos F5 BIG-IP con acceso a Internet».

Si bien F5 ha revisado desde entonces su aviso para incluir lo que cree que son indicadores «confiables» de compromiso, ha advertido que «un atacante experto puede eliminar la evidencia de compromiso, incluidos los archivos de registro, después de una explotación exitosa».

Para empeorar las cosas, evidencia posee surgido que la falla de ejecución remota de código se está utilizando para borrar por completo los servidores objetivo como parte de ataques destructivos para dejarlos inoperables mediante la emisión de un «rm -rf /*» comando que borra recursivamente todos los archivos.

«Dado que el servidor web se ejecuta como root, esto debería ocuparse de cualquier servidor vulnerable y destruir cualquier dispositivo BIG-IP vulnerable», SANS Internet Storm Center (ISC) dicho en Twitter.

A la luz del impacto potencial de esta vulnerabilidad, las agencias del Poder Ejecutivo Civil Federal (FCEB, por sus siglas en inglés) recibieron el mandato de parchear todos los sistemas contra el problema antes del 31 de mayo de 2022.

David
Rate author
Hackarizona