Vulnerabilità F5 BIG-IP: 266.000 dispositivi a rischio nel mondo! 2500 in Italia

La Cybersecurity and Infrastructure Security Agency (CISA) e il Multi-State Information Sharing & Analysis Center (MS-ISAC) pubblicano questo avviso congiunto sulla sicurezza informatica (CSA) in risposta allo sfruttamento attivo di CVE-2022-1388.

Questa vulnerabilità, recentemente divulgata in alcune versioni di F5 Networks, Inc. (F5) BIG-IP, consente a un attore non autenticato di ottenere il controllo dei sistemi interessati tramite la porta di gestione o gli indirizzi IP personali. F5 ha rilasciato una patch per CVE-2022-1388 il 4 maggio 2022 e da allora sono stati resi pubblici exploit proof of concept (POC), consentendo ad attori meno sofisticati di sfruttare la vulnerabilità.

A causa del precedente sfruttamento di vulnerabilità di F5 BIG-IP , CISA e MS-ISAC ritengono che i dispositivi F5 BIG-IP non patchati siano un obiettivo interessante; le organizzazioni che non hanno applicato la patch sono vulnerabili ad attacchi che prendono il controllo dei loro sistemi.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’organismo di controllo di Internet Shadowserver sta attualmente monitorando 266.978 indirizzi IP con una firma BIG-IP F5 dei quali circa 2500 sono in Italia. Oltre ai sistemi americani, ci sono circa 100.000 dispositivi in ​​Europa e Asia. Nello specifico, per i Paesi Bassi, si tratta di 3.800 sistemi esposti.

Queste cifre illustrano l’enorme portata dell’incidente di sicurezza F5 di cui si è avuta notizia all’inizio di questa settimana . L’azienda di sicurezza ha riferito che gli hacker statali avevano avuto accesso al loro ambiente di sviluppo del prodotto BIG-IP per mesi. I prodotti F5 BIG-IP sono presenti ovunque nelle reti aziendali. Forniscono bilanciamento del carico, firewall e controllo degli accessi per applicazioni critiche. Il fatto che centinaia di migliaia di questi sistemi siano ora visibili al pubblico li rende obiettivi interessanti per i criminali informatici.

Dettagli tecnici

CVE-2022-1388 è una vulnerabilità critica di bypass dell’autenticazione REST di iControl che colpisce le seguenti versioni di F5 BIG-IP:[ 1 ]

• Versioni 16.1.x precedenti alla 16.1.2.2
• Versioni 15.1.x precedenti alla 15.1.5.1
• Versioni 14.1.x precedenti alla 14.1.4.6
• Versioni 13.1.x precedenti alla 13.1.5
• Tutte le versioni 12.1.x e 11.6.x

Un attore non autenticato con accesso di rete al sistema BIG-IP tramite la porta di gestione o gli indirizzi IP personali potrebbe sfruttare la vulnerabilità per eseguire comandi di sistema arbitrari, creare o eliminare file o disabilitare servizi. F5 ha rilasciato una patch per CVE-2022-1388 per tutte le versioni interessate, ad eccezione delle versioni 12.1.x e 11.6.x, il 4 maggio 2022 (le versioni 12.1.x e 11.6.x sono a fine ciclo di vita [EOL] e F5 ha dichiarato che non rilascerà patch).[ 2 ]

Gli exploit POC per questa vulnerabilità sono stati resi pubblici e, l’11 maggio 2022, CISA ha aggiunto questa vulnerabilità al suo catalogo delle vulnerabilità note sfruttate , sulla base di prove di sfruttamento attivo. Grazie ai POC e alla facilità di sfruttamento, CISA e MS-ISAC prevedono uno sfruttamento diffuso di dispositivi F5 BIG-IP non patchati nelle reti governative e private.

Metodi di rilevamento

La CISA raccomanda agli amministratori, in particolare alle organizzazioni che non hanno applicato immediatamente la patch, di:

• Per gli indicatori di compromissione, consultare l’avviso di sicurezza F5 K23605346 .
• Se si sospetta una compromissione, consultare la guida F5 K11438344 .
• Distribuisci la seguente firma Snort creata da CISA:

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.