Hackers estão vasculhando as redes do mundo inteiro em busca de appliances de balanceamento de carga F5 BIG-IP, para tentar roubar credenciais. Quem tiver interfaces expostas na internet deve fazer o patch imediatamente. A recomendação é do US Cyber Command e foi feita na sexta-feira dia 3, após a F5 Networks ter publicado a correção para a vulnerabilidade CVE-2020-5902. A vulnerabilidade CVE-2020-5902 está em páginas não divulgadas da interface do produto e tem um grau de gravidade 10.
Alguns especialistas afirmaram no Twitter que não havia exploits publicados para o problema, sugerindo que isso não era um risco imediato, mas os exploits já começaram a aparecer ontem, em POCs (provas de conceito) publicadas na internet. Elas ilustram a facilidade de se exfiltrar dados e executar comandos nos dispositivos vulneráveis. Um pesquisador criou no GitHub um repositório que lista PoCs para executar várias tarefas, como exibir o arquivo /etc/passwd, para acessar credenciais armazenadas ou para visualizar o arquivo de configuração do dispositivo. O pesquisador Rich Warren ontem mesmo registrou ataques em dispositivos que ele monitora.
Veja isso
F5 Networks compra a Shape Security por US$ 1 bilhão
Superfície de ataque vai a 200 zetabytes, com 50% em nuvem
O BIG-IP é bastante usado por agências governamentais dos EUA e grandes empresas, incluindo bancos, provedores de serviços e gigantes de TI como Facebook, Microsoft e Oracle. A F5 Networks afirma que os dispositivos BIG-IP são atualmente utilizados nas redes de 48 empresas incluídas na lista da Fortune 500.
A vulnerabilidade do BIG-IP foi relatada à F5 pelo pesquisador Mikhail Klyuchnikov, da Positive Technologies. Ela pode ser explorada para a obtenção de acesso à interface para executar comandos arbitrários do sistema, desativar serviços, executar código Java arbitrário e criar ou excluir arquivos, além de potencialmente assumir o controle do dispositivo inteiro.
A vulnerabilidade CVE-2020-5902 recebeu uma pontuação CVSS de 10, o que significa que é bastante fácil de explorar. O problema pode ser explorado enviando-se uma solicitação HTTP especificamente criada para o servidor que hospeda o utilitário TMUI (Traffic Management User Interface), usado para a configuração do BIG-IP.
As versões BIG-IP vulneráveis a ataques são 11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x e 15.1.x. No caso de usuários de nuvem, a recomendação é instalar as versões 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6, 15.0.1.4 ou BIG-IP Virtual Edition (VE) 15.1.0.4, se disponível.
