Hackers aprovechan las recientes fallas de F5 BIG-IP en ataques sigilosos

Iniciado por AXCESS, Noviembre 02, 2023, 05:57:56 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Noviembre 02, 2023, 05:57:56 PM Ultima modificación: Noviembre 02, 2023, 05:59:41 PM por AXCESS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


F5 advierte a los administradores de BIG-IP que los dispositivos están siendo vulnerados por piratas informáticos "expertos" que explotan dos vulnerabilidades reveladas recientemente para borrar las señales de su acceso y lograr la ejecución sigilosa del código.

F5 BIG-IP es un conjunto de productos y servicios que ofrecen equilibrio de carga, seguridad y gestión del rendimiento para aplicaciones en red. La plataforma ha sido ampliamente adoptada por grandes empresas y organizaciones gubernamentales, lo que hace que cualquier defecto en el producto sea una preocupación importante.

La semana pasada, F5 instó a los administradores a aplicar las actualizaciones de seguridad disponibles para dos vulnerabilidades recientemente descubiertas:

    CVE-2023-46747: falla crítica (puntaje CVSS v3.1: 9.8 ) que permite a un atacante acceder a la utilidad de configuración y realizar la ejecución de código arbitrario.

    CVE-2023-46748: falla de inyección SQL de alta gravedad (puntaje CVSS v3.1: 8.8 ) que permite a atacantes autenticados con acceso de red a la utilidad de configuración ejecutar comandos arbitrarios del sistema.

El 30 de octubre, el proveedor de software actualizó los boletines CVE-2023-46747 y CVE-2023-46748 para alertar sobre explotación activa en la naturaleza.

"Esta información se basa en la evidencia que F5 ha visto en dispositivos comprometidos, que parecen ser indicadores confiables", se lee en la actualización del boletín.

"Es importante señalar que no todos los sistemas explotados pueden mostrar los mismos indicadores y, de hecho, un atacante hábil puede eliminar rastros de su trabajo".

"No es posible demostrar que un dispositivo no ha sido comprometido; cuando hay alguna duda, se debe considerar que el dispositivo está comprometido".

CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) ha agregado las dos vulnerabilidades a su catálogo KEV (Vulnerabilidades Explotadas Conocidas), instando a las agencias del gobierno federal a aplicar las actualizaciones disponibles hasta el 21 de noviembre de 2023.

Las versiones impactadas y reparadas se detallan a continuación:

    17.1.0 (afectado), corregido en 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG y posteriores

    16.1.0 – 16.1.4 (afectado), corregido en 16.1.4.1 + Hotfix-BIGIP-16.1.4.1.0.50.5-ENG y posteriores

    15.1.0 – 15.1.10 (afectado), corregido en 15.1.10.2 + Hotfix-BIGIP-15.1.10.2.0.44.2-ENG y posteriores

    14.1.0 – 14.1.5 (afectado), corregido en 14.1.5.6 + Hotfix-BIGIP-14.1.5.6.0.10.6-ENG y posteriores

    13.1.0 – 13.1.5 (afectado), corregido en 13.1.5.1 + Hotfix-BIGIP-13.1.5.1.0.20.2-ENG y posteriores

F5 también ha publicado un script que ayuda a mitigar la falla de RCE, cuyas instrucciones de uso se pueden encontrar aquí.

F5 ha observado que los actores de amenazas utilizan las dos fallas en combinación, por lo que incluso aplicar la mitigación para CVE-2023-46747 podría ser suficiente para detener la mayoría de los ataques.

Para obtener orientación sobre cómo buscar indicadores de compromiso (IoC) en BIG-IP y cómo recuperar sistemas comprometidos, consulte esta página web.

Los IoC relacionados con CVE-2023-46748 específicamente son entradas en el archivo /var/log/tomcat/catalina.out que tienen el siguiente formato:

{...}
java.sql.SQLException: Column not found: 0.
{...)
sh: no job control in this shell
sh-4.2$ <EXECUTED SHELL COMMAND>
sh-4.2$ exit.

Dado que los atacantes pueden borrar sus huellas utilizando estas fallas, los puntos finales BIG-IP que no han sido parcheados hasta ahora deben ser tratados como comprometidos.

Por precaución, los administradores de dispositivos BIG-IP expuestos deben pasar directamente a la fase de limpieza y restauración.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario