F5 Networks, uno de los mayores proveedores mundiales de equipos de redes empresariales, ha publicado un aviso de seguridad esta semana advirtiendo a los clientes que corrijan una falla de seguridad peligrosa que es muy probable que se explote. La vulnerabilidad afecta el producto BIG-IP de la compañía. Estos son dispositivos de red multipropósito que pueden funcionar como sistemas de configuración de tráfico web, equilibradores de carga, firewalls, puertas de acceso, limitadores de velocidad o middleware SSL.
BIP-IP es uno de los productos de red más populares en uso hoy en día. Se usan en redes gubernamentales de todo el mundo, en las redes de proveedores de servicios de Internet, dentro de centros de datos de computación en la nube y ampliamente en redes empresariales.
En su sitio web, F5 reporta que su línea de productos BIG-IP se utilizan en las redes de 48 compañías incluidas en la lista Fortune 50.
Mikhail Klyuchnikov, investigador de seguridad de Positive Technologies, encontró el error BIG-IP y lo notificó en privado a F5. El fallo de seguridad recibió el identificador CVE-2020-5902. El error es una vulnerabilidad llamada «ejecución remota de código» en la interfaz de administración de BIG-IP, conocida como TMUI (interfaz de usuario de administración de tráfico).
Los atacantes pueden explotar este error en Internet para obtener acceso al componente TMUI, que se ejecuta sobre un servidor Tomcat en el sistema operativo basado en Linux de BIG-IP. Los piratas informáticos no necesitan credenciales válidas para atacar dispositivos, y una explotación exitosa puede permitir a los intrusos ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, deshabilitar servicios y / o ejecutar código arbitrario de Java, y eventualmente llevar a los atacantes a obtener el control total sobre los equipos BIG-IP.
La vulnerabilidad es tan peligrosa que recibió la rara puntuación de 10 sobre 10 en la escala de gravedad de vulnerabilidad CVSSv3. Este puntaje significa que el error de seguridad es fácil de explotar, automatizar, puede usarse en Internet y no requiere credenciales válidas o habilidades de codificación avanzadas para aprovecharlo. Como coincidencia, este fue el segundo error 10/10 CVSS en un dispositivo de red divulgado esta semana, después de que se revelara un error crítico similar que afectaba a los dispositivos de firewall y VPN de Palo Alto Networks el lunes. El Comando Cibernético de los Estados Unidos emitió una advertencia al sector privado y gubernamental esta semana para corregir el error de Palo Alto, ya que esperaban que los piratas informáticos estatales extranjeros intentaran explotar la vulnerabilidad. Una agencia de seguridad cibernética de EE. UU. No emitió ninguna advertencia oficial, pero el error F5 no es menos grave y tan peligroso como el de Palo Alto.
«La urgencia de reparar este [error] no puede ser subestimada», dijo esta semana en Twitter Nate Warfield, un ex ingeniero de F5 Networks, y actualmente investigador de seguridad en Microsoft.
«Un uso común de su tecnología es la descarga SSL», agregó. «El compromiso total de un sistema podría, en teoría, permitir a alguien espiar el tráfico no cifrado dentro del dispositivo.
«Su sistema operativo [de gestión] está basado en Linux y, como la mayoría de los ADC (controladores de entrega de aplicaciones), se implementan en partes centrales de redes de alto acceso».
Actualmente, según una búsqueda de Shodan, hay alrededor de 8.400 dispositivos BIG-IP conectados en línea.
A la presente fecha, varias compañías e investigadores de seguridad en la comunidad de ciberseguridad le han dicho a ZDNet que no han detectado ningún ataque dirigido a estos dispositivos; pero esperan que los ataques comiencen pronto, especialmente si un código de explotación de prueba de concepto se comparte públicamente en línea.
El update de seguridad de F5 para el fallo CVE-2020-5902 está disponible aquí, con información sobre versiones y parches de firmware vulnerables.
Referencia: https://www.zdnet.com/google-amp/article/f5-patches-vulnerability-that-received-a-cvss-10-severity-score