Was ist das Problem?
Am 10. März 2021 veröffentlichte F5 einen Sicherheitshinweis, der sieben Schwachstellen enthielt, von denen vier kritische Schwachstellen für die Remotecodeausführung sind, die alle BIG-IP-Module und eine große Anzahl von BIG-IQ-Produkten betreffen.
Am 10. März 2021 identifizierte Censys 440.882 verschiedene Hosts mit BIG-IP Produkten auf der ganzen Welt, was auf erhebliche potenzielle Auswirkungen der Schwachstellen hinweist. Die höchste Anzahl von Hosts wurde in den Vereinigten Staaten gefunden (239.834), mehr als in den anderen 10 Ländern zusammen.
Warum ist das wichtig?
BIG-IP-Geräte befinden sich in der Regel zwischen dem weichen internen Unternehmensnetzwerk und der knackigen harten Schale, mit der sich Unternehmen umgeben - das können Firewalls, Proxy-Dienste, DNS-Dienste usw. sein. Während die meisten dieser Exploits einen lokalen Zugriff auf die Verwaltungsschnittstelle dieser Geräte erfordern, gibt es ein Exploit, das anscheinend von außen ausgenutzt werden kann. Sobald die Schwachstelle ausgenutzt wurde, wird das kompromittierte Gerät zu einem Ausgangspunkt für die Infiltration des Netzwerks. Ein Angreifer könnte von diesem Gerät aus weitere Angriffe innerhalb des Netzwerks durchführen, was für den Angreifer eine hohe Ausdauer und ein hohes Potenzial für einen Einbruch bedeutet.
Wir haben eine Zufallsstichprobe von US-amerikanischen Hosts mit BIG-IP-Produkten genommen und die folgende Aufschlüsselung nach Branchen gefunden. Zu den wichtigsten Branchen in den USA gehören:
- Software und Computerdienste (z. B. Web-E-Mail-Anbieter, andere Online-Dienste)
- Bildungsdienste (z. B. akademische Einrichtungen, Volkshochschulen)
- Ausrüstung und Dienstleistungen im Gesundheitswesen (z. B. Krankenhäuser, Unternehmen für medizinische Geräte)
- Finanzdienstleistungen (z. B. Investmentgesellschaften)
- Staatliche Agenturen
F5 empfiehlt allen Benutzern, so schnell wie möglich zu aktualisieren. Wenn eine dieser CVEs erfolgreich ausgenutzt wird, wird das kompromittierte Gerät zu einem Pfad für die Netzwerkinfiltration. Wie bereits erwähnt, könnte ein Angreifer von diesem Gerät aus weitere Angriffe innerhalb des Netzwerks durchführen, was zu einer Persistenz des Angreifers und einem hohen Potenzial für einen Einbruch führt.
Was kann ich dagegen tun?
Identifizieren Sie Ihre potenziell gefährdeten Versionen der BIG-IP- und BIG-IQ-Produkte und aktualisieren Sie diese Dienste gemäß den F5-Anleitungen. Wenn Sie den Verdacht haben, dass eines Ihrer Geräte kompromittiert wurde, oder wenn Sie eine Untersuchung einleiten, um nach einer möglichen Kompromittierung zu suchen, hat F5 hier IoCs und Anleitungen bereitgestellt.
Um Ihr Vermögen zu finden, können Sie sich ganz einfach Censys Search mit einem kostenlosen Konto nutzen. Wenn Sie die IP-Bereiche Ihrer Internet-Assets kennen, können Sie diese Abfrage verwenden, um Assets mit BIG-IP Produkten zu finden. Ersetzen Sie "ORG-IP" und "MASK" durch die IP-Bereiche und Netzmasken Ihres Unternehmens.
bigip and (ORG-IP/MASK OR ORG-IP/MASK)
Alle Censys ASM-Kunden wurden bereits über spezifische Möglichkeiten zur Suche nach BIG-IP-Produkten in ihrer Umgebung informiert und können diesem Link folgen , um den Filter in der Censys ASM-Plattform zu finden.
Ressourcen
