¿Cuál es el problema?
El 10 de marzo de 2021, F5 publicó un aviso de seguridad que incluía 7 vulnerabilidades, 4 de las cuales son vulnerabilidades críticas de ejecución remota de código que afectan a todos los módulos BIG-IP y a un número significativo de productos BIG-IQ.
El 10 de marzo de 2021, Censys identificó 440.882 hosts distintos con productos BIG-IP en todo el mundo, lo que indica un impacto potencial significativo de las vulnerabilidades. El mayor número de hosts se encontró en Estados Unidos (239.834), más que en los otros 10 países juntos.
¿Qué importancia tiene?
Los dispositivos BIG-IP normalmente se sitúan entre la suave red corporativa interna y la crujiente coraza dura de la que se rodean las organizaciones - esto podría ser cortafuegos, servicios proxy, servicios DNS, etc. Aunque la mayoría de estos exploits requieren acceso local a la interfaz de gestión de estos dispositivos, hay un exploit que parece ser explotable externamente. Una vez explotado, el dispositivo comprometido se convierte en un punto de partida para la infiltración en la red. Un atacante podría realizar más ataques dentro de la red desde este dispositivo, lo que se traduciría en persistencia para el atacante y un alto potencial de infracción.
Tomamos una muestra aleatoria de hosts con sede en EE.UU. que utilizan productos BIG-IP y obtuvimos el siguiente desglose por sectores. Los principales sectores en EE.UU. son:
- Software y servicios informáticos (por ejemplo, proveedores de correo electrónico, otros servicios en línea)
- Servicios educativos (por ejemplo, instituciones académicas, colegios comunitarios)
- Equipos y servicios sanitarios (por ejemplo, hospitales, empresas de dispositivos médicos)
- Servicios financieros (por ejemplo, sociedades de inversión)
- Agencias gubernamentales
F5 anima a todos los usuarios a actualizar lo antes posible. Si cualquiera de estos CVE se explota con éxito, el dispositivo comprometido se convierte en una vía de infiltración en la red. Como ya se ha mencionado, un atacante podría realizar más ataques dentro de la red desde este dispositivo, lo que se traduciría en persistencia para el atacante y un alto potencial de infracción.
¿Qué hago al respecto?
Identifique sus versiones potencialmente vulnerables de los productos BIG-IP y BIG-IQ y actualice esos servicios de acuerdo con las directrices de F5. Si sospecha que uno de sus dispositivos ha sido comprometido o está comenzando una investigación para buscar un posible compromiso, F5 ha proporcionado IoCs y orientación aquí.
Para encontrar sus activos, puede aprovechar fácilmente Censys Search con una cuenta gratuita. Si conoce los rangos de IP de sus activos de Internet, puede utilizar esta consulta para encontrar activos con productos BIG-IP. Sustituya "ORG-IP" y "MASK" por los rangos IP y máscaras de red de su organización.
bigip and (ORG-IP/MASK OR ORG-IP/MASK)
Todos los clientes de Censys ASM ya han sido notificados de las formas específicas de buscar productos BIG-IP en su entorno y pueden seguir este enlace para el filtro en Censys ASM Platform.
Recursos
