This post is also available in: Português
Pesquisadores da Randori, empresa de segurança digital, emitiram alerta sobre uma vulnerabilidade que está sendo utilizada por cibercriminosos para invasão e tomada de controle de sistemas e redes nas maiores empresas do mundo.
A vulnerabilidade, registrada como CVE-2022-1388, que possui uma classificação de gravidade de 9,8 de 10, afeta o BIG-IP da F5, uma linha de dispositivos que as organizações usam como balanceadores de carga, firewalls e para inspeção e criptografia de dados que entram e saem das redes.
Existem mais de 16.000 instancias do equipamento detectáveis online, e, segundo a F5, são usados por 48 das 50 maiores empresas da Fortune.
Dada a proximidade do BIG-IP com as bordas da rede e suas funções como dispositivos que gerenciam o tráfego para servidores web, eles possuem acesso a informações descriptografadas do tráfego protegido por HTTPS. Ou seja, as informações podem ser acessadas por cibercriminosos.
A partir dessa falha na interface, os cibercriminosos ganham privilégios de administradores dos sistemas afetados e com isso, podem realizar inúmeras ações, desde a execução de código remoto até obtenção de dados que passam pela ferramenta. Muitas vezes, também ultrapassando outras camadas de proteção, como credenciais de acesso.
Na semana passada, a F5 divulgou e corrigiu uma vulnerabilidade BIG-IP que os crackers podem explorar para executar comandos executados com privilégios de sistema raiz. A ameaça decorre de uma implementação de autenticação defeituosa do iControl REST, um conjunto de interfaces de programação baseadas na web para configurar e gerenciar dispositivos BIG-IP.
Segundo Aarn Portnoy, diretor de pesquisa e desenvolvimento da Randori, esse problema permite que invasores, com acesso à interface de gerenciamento, basicamente finjam ser um administrador, devido a uma falha na forma como a autenticação é implementada. Uma vez que o acesso administrativo é estabelecido, é possível interagir e executar comandos diretamente.
Imagens circulando pelo Twitter nos últimos dias, mostram como os crackers podem usar o exploit para acessar um endpoint de aplicativo F5 chamado bash. Sua função é fornecer uma interface para executar a entrada fornecida pelo usuário como um comando bash com privilégios de root.
Let's drop CVE-2022-1388 PoC pic.twitter.com/MmyvQGL6eO
— 416e6e61 (@AnnaViolet20) May 9, 2022
Embora muitas imagens mostrem o código de exploração fornecendo uma senha para executar comandos, as explorações também funcionam quando nenhuma senha é fornecida.
A imagem rapidamente chamou a atenção de pesquisadores que se maravilharam com o poder de um exploit que permite a execução de comandos de root sem senha. Alguns perguntaram como uma funcionalidade tão poderosa poderia ter passado despercebida pelos desenvolvedores do produto.
And in case anyone is wondering about that special YWRtaW46 authorization.
It's not a hard-coded password. It's an EMPTY password. It base64 decodes to
"admin:" pic.twitter.com/jeOAMcf8NM— Will Dormann (@wdormann) May 9, 2022
I'm not entirely unconvinced that this code wasn't planted by a developer performing corporate espionage for an incident response firm as some sort of revenue guarantee scheme.
If so, brilliant. If not, WTAF… https://t.co/4F237teFa2
— Jake Williams (@MalwareJake) May 9, 2022
Também no twitter, pesquisadores compartilharam código de exploração e relataram ter visto exploração em estado inicial, que descartavam webshells de backdoor, que os agentes de ameaças poderiam usar para manter o controle sobre dispositivos BIG-IP invadidos, mesmo depois de serem corrigidos.
🚨 Estoy viendo la explotación masiva de F5 BIG-IP CVE-2022-1388 (RCE), instalando #Webshell en /usr/local/www/xui/common/css/ como backdoor para mantener el acceso.
Ataques desde:
216.162.206.213
209.127.252.207Payload escribe en /tmp/f5.sh, ejecuta y elimina. pic.twitter.com/W9BlpYTUEU
— Germán Fernández (@1ZRR4H) May 9, 2022
A falha também atinge o Brasil
Segundo o relatório da Randori, cerca de 2,5 mil sistemas BIG-IP foram comprometidos pela vulnerabilidade. Desses, são 57 no Brasil, alguns inclusive relacionados a órgãos públicos que não foram divulgados.
Por conta dessa situação, organizações que utilizam sistemas BIG-IP devem ficar atentas ao problema e se preparar, caso observem qualquer risco iminente, com possíveis mitigações para vazamento de dados ou informações a que as ferramentas tenham acesso.
Dicas para mitigar o problema
A F5 oferece em sua página algumas dicas para mitigar o problema até que seja possível instalar uma versão definitiva. Essas mitigações restringem o acesso ao iControl REST apenas a redes ou dispositivos confiáveis, limitando assim a superfície de ataque.
- Bloqueia o acesso REST do iControl a determinados IPs
Você pode bloquear todo o acesso à interface iControl REST do seu sistema BIG-IP, restringindo acesso apenas a determinados IPs. Para fazer isso, você pode alterar a configuração Port Lockdown para Allow None para cada endereço IP.
Se você precisar abrir alguma porta, deverá usar a opção permitir personalizado, tomando o cuidado de não permitir o acesso ao iControl REST. Por padrão, o iControl REST atende na porta TCP 443 ou na porta TCP 8443 em instâncias únicas de NIC BIG-IP VE. Se você modificou a porta padrão, certifique-se de não permitir o acesso à porta alternativa que você configurou.
Atenção: A execução desta ação impede todo o acesso ao utilitário de configuração e iControl REST usando o endereço IP próprio. Essas alterações também podem afetar outros serviços, incluindo a interrupção de configurações de alta disponibilidade (HA).
- Bloqueie o acesso REST do iControl por meio da interface de gerenciamento
Para mitigar essa vulnerabilidade dos produtos F5 afetados, você deve restringir o acesso de gerenciamento apenas a usuários e dispositivos confiáveis em uma rede segura.
Atenção: Restringir o acesso à interface de gerenciamento por endereço IP em httpd não é uma mitigação viável para esse problema.
- Modifique a configuração httpd do BIG-IP
Além de bloquear o acesso por meio de endereços IP próprios e interface de gerenciamento, ou como alternativa ao bloqueio de acesso, se essas opções não forem possíveis em seu ambiente, você pode modificar a configuração httpd do BIG-IP para mitigar esse problema.
Fontes: F5, CISOAdvisor, Randori, CanalTech.
This post is also available in: Português