Los piratas informáticos explotan el error crítico F5 BIG-IP

Los actores de amenazas han comenzado a explotar masivamente la vulnerabilidad crítica rastreada como CVE-2022-1388 , que afecta a múltiples versiones de todos los módulos F5 BIG-IP, para lanzar cargas maliciosas.

La semana pasada, F5 lanzó parches para el problema de seguridad (clasificación de gravedad 9., que afecta el componente de autenticación BIG-IP iControl REST.

La compañía advirtió que la vulnerabilidad permite que un atacante no autenticado en el sistema BIG-IP ejecute "comandos arbitrarios del sistema, cree o elimine archivos o deshabilite servicios".

En este momento, hay miles de sistemas BIG-IP expuestos en Internet, por lo que los atacantes pueden aprovechar el exploit de forma remota para violar la red corporativa.


Varios investigadores de seguridad anunciaron que habían creado exploits funcionales y advirtieron a los administradores que instalaran las últimas actualizaciones de inmediato.

La burbuja estalló y los exploits estuvieron disponibles públicamente ya que los ataques requieren solo dos comandos y algunos encabezados enviados a un punto final 'bash' sin parchear expuesto a Internet.

Por el momento, Twitter está lleno del código de prueba de explotación para CVE-2022-1388 e informa que se aprovecha en la naturaleza para lanzar webshells para acceso prolongado de puerta trasera.

Explotado activamente para soltar proyectiles
El investigador de seguridad de Cronup, Germán Fernández, observó que los actores de amenazas colocaban webshells de PHP en "/tmp/f5.sh" y los instalaban en "/usr/local/www/xui/common/css/".

Después de la instalación, la carga útil se ejecuta y luego se elimina del sistema:


Kevin Beaumont también ha observado intentos de explotación en ataques que no tenían como objetivo la interfaz de administración. Señala que si el sistema F5 se ha configurado "como un equilibrador de carga y un cortafuegos a través de una IP propia, también es vulnerable, por lo que esto puede complicarse".

Sin embargo, otros investigadores han visto CVE-2022-11388 aprovechado masivamente contra la interfaz de administración.

Sospechosamente fácil de explotar

La vulnerabilidad es tan fácil de explotar que algunos investigadores de seguridad creen que no terminó en los productos por accidente, especialmente considerando que el punto final vulnerable se llama 'bash', un popular shell de Linux.

Jake Williams , director ejecutivo de inteligencia de amenazas cibernéticas en Scythe , dice que la falla podría ser el resultado de un error de un desarrollador.

Will Dormann , analista de vulnerabilidades del CERT/CC, comparte el mismo sentimiento y teme que, de lo contrario, podría ser un problema mucho mayor.


Dado que el exploit ya se comparte ampliamente públicamente, se recomienda encarecidamente a los administradores que instalen los parches disponibles de inmediato, eliminen el acceso a la interfaz de administración a través de Internet pública o apliquen las mitigaciones proporcionadas por F5 hasta que se puedan instalar las actualizaciones:

- Bloquee el acceso REST de iControl a través de la propia dirección IP
- Bloquee el acceso REST de iControl a través de la interfaz de administración
- Modificar la configuración httpd de BIG-IP

El aviso de F5 para esta vulnerabilidad, que incluye información detallada sobre todas las actualizaciones y mitigaciones de seguridad, se puede encontrar aquí .

Para ayudar a los administradores de BIG-IP, los investigadores de la empresa de administración de superficie de ataque Randori publicaron un código bash que determina si CVE-2022-1388 es explotable en sus instancias o no.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta