CISA: invasores estão explorando a vulnerabilidade FIG-IP F5

Views: 646
0 0
Read Time:2 Minute, 55 Second

Agência de Segurança Cibernética e Infraestrutura dos EUA está avisando que os atores de ameaças estão explorando ativamente uma vulnerabilidade de execução remota de código nos produtos de rede BIG-IP da F5 que podem permitir que invasores exfiltrem dados, acessem redes, executem comandos, criem ou excluam arquivos e desabilitem serviços.

Os pesquisadores de segurança anteriores, F5 e o Cyber ​​Command dos EUA, pediram aos usuários que corrigissem a vulnerabilidade nos produtos de rede BIG-IP, rastreados como CVE-2020-5902 . A empresa de segurança Expanse alertou que cerca de 8.000 instalações não foram corrigidas para essa falha (consulte: Milhares de produtos de rede B5-BIG-IP defeituosos não corrigidos ).

A CISA, que faz parte do Departamento de Segurança Interna dos EUA, observa em seu aviso que, desde 6 de julho, os atores de ameaças estão examinando e realizando reconhecimento à procura de instalações vulneráveis ​​de instalações BIG-IP, e agora alguns atacantes estão começando a explorar a vulnerabilidade. .

A CISA confirmou que até agora, duas organizações foram comprometidas, mas está investigando outros ataques, segundo o alerta.

“A CISA conduziu compromissos de resposta a incidentes no governo dos EUA e em entidades comerciais, onde atores maliciosos de ameaças cibernéticas exploraram o CVE-2020-5902 – uma vulnerabilidade do RCE na Interface do Usuário de Gerenciamento de Tráfego BIG-IP (TMUI) – para controlar os sistemas das vítimas”. de acordo com o alerta emitido sexta-feira.

A CISA não ofereceu mais detalhes, mas explicou que as explorações de prova de conceito estão disponíveis para esta vulnerabilidade há várias semanas.

Produtos amplamente utilizados

Quando a vulnerabilidade foi divulgada pela primeira vez em 3 de julho, o CVE-2020-5902 recebeu uma pontuação de 10 em 10 na escala de gravidade CVSSv3, que é uma das razões pelas quais agências governamentais como o Comando Cibernético dos EUA e o Centro de Segurança da Internet MS-ISAC emitiram avisos solicitando correção imediata para a vulnerabilidade (consulte: Correção solicitada como exploração de vulnerabilidade F5 BIG-IP ).

Vários grandes bancos, agências governamentais e provedores de serviços de Internet em todo o mundo usam os produtos de rede BIG-IP, juntamente com a Microsoft e a Oracle.

A vulnerabilidade CVE-2020-5902 está localizada na porta de gerenciamento localizada na Interface do Usuário de Gerenciamento de Tráfego, de acordo com a empresa de segurança Positive Technologies , que descobriu a vulnerabilidade e chamou a atenção da F5 no início deste mês.

Mitigação

Em alerta, a CISA observa que espera ver mais ataques explorando produtos de rede F5 BIG-IP sem patch e recomenda fortemente que usuários e administradores atualizem seus sistemas e apliquem correções sempre que possível.

Além de incentivar as organizações a corrigir, o CISA fornece medidas de detecção e estratégias de mitigação. Ele recomenda que os administradores verifiquem o aviso de segurança da F5 quanto a indicadores de comprometimento e usem a Ferramenta de detecção de IoC CVE-2020-5902 da F5 para verificar a possibilidade de exploração. A agência também recomenda que as organizações colocem em quarentena ou tomem sistemas offline que foram potencialmente afetados por uma exploração.

Para organizações que tiveram seus produtos de rede BIG-IP comprometidos, a CISA recomenda várias etapas para ajudar a mitigar os riscos, incluindo:

  • Reimagine hosts comprometidos;
  • Provisionar novas credenciais de conta;
  • Limite o acesso à interface de gerenciamento na máxima extensão possível;
  • Implemente a segmentação de rede.

FONTE: BANKINFO SECURITY

POSTS RELACIONADOS