Vulnerabilidad en F5 con puntaje CVSS 10/10 (Parchea CVE-2020-5902!)

La ejecución remota de código en dispositivos F5 BIG-IP expone a gobiernos, proveedores de la nube, ISP, bancos y muchas compañías de Fortune 500 a posibles intrusiones. F5 Networks, uno de los mayores proveedores mundiales de equipos de redes empresariales, ha publicado un aviso de seguridad esta semana advirtiendo a los clientes que corrijan una falla de seguridad peligrosa que es muy probable que se explote.

La vulnerabilidad afecta el producto BIG-IP de la compañía. Estos son dispositivos de red multipropósito que pueden funcionar como sistemas de configuración de tráfico web, balanceadores de carga, firewalls, puertas de acceso, limitadores de velocidad o middleware SSL.

Identificado como CVE-2020-5902, Mikhail Klyuchnikov, investigador de seguridad de Positive Technologies, encontró el error BIG-IP y lo notificó en privado a F5. El error es una vulnerabilidad de Ejecución Remota de Código (RCE) en la interfaz de administración de BIG-IP, conocida como TMUI (Traffic Management User Interface). Los atacantes pueden explotar este error a través de Internet para obtener acceso al componente TMUI, que se ejecuta sobre un servidor Tomcat en el sistema operativo basado en Linux de BIG-IP.

Un atacante no autenticado puede explotar de forma remota esta vulnerabilidad enviando una solicitud HTTP malintencionada al servidor vulnerable. Los atacantes no necesitan credenciales válidas para atacar dispositivos, y una explotación exitosa puede permitir a los intrusos ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, deshabilitar servicios y/o ejecutar código arbitrario de Java, y eventualmente llevar a los atacantes a obtener el control total sobre El dispositivo BIG-IP.

La vulnerabilidad es tan peligrosa que recibió la rara puntuación de 10 sobre 10 en la escala de gravedad de vulnerabilidad CVSSv3. Este puntaje significa que el error de seguridad es fácil de explotar, automatizar, puede usarse en Internet y no requiere credenciales válidas o habilidades avanzadas de codificación para aprovecharlo.

Como coincidencia, esta fue la segunda falla 10/10 CVSS en un dispositivo de red divulgada esta semana, luego de que se revelara una falla crítica similar que afectaba a los dispositivos VPN y firewall de Palo Alto Networks el lunes.

Parchea urgente!

El Comando Cibernético de los Estados Unidos emitió una advertencia al sector privado y gubernamental esta semana para corregir el error de Palo Alto, ya que esperaban que los delincuentes informáticos estatales extranjeros intentaran explotar la vulnerabilidad. Una agencia de seguridad cibernética de EE.UU. no emitió ninguna advertencia oficial, pero el error F5 no es menos grave y es tan peligroso como el de Palo Alto.

"La urgencia de reparar este [error] no puede ser subestimada", dijo esta semana en Twitter Nate Warfield, un ex ingeniero de F5 Networks, y actualmente investigador de seguridad en Microsoft.

Actualmente, según una búsqueda de Shodan, hay alrededor de 8.400 dispositivos BIG-IP conectados en línea, ya hay scripts de nmap, exploits funcionales y ataques registrados in-the-wild.

Como el proceso de actualización puede ser traumático, mientras tanto, se puede limitar el acceso a TMUI por IP. La información de CVE-2020-5902 BIG-IP TMUI RCE está disponible aquí, con información sobre versiones y parches de firmware vulnerables.

Fuente: ZDNet

Suscríbete a nuestro Boletín