A Agência de Segurança Cibernética e Infraestrutura dos EUA está avisando que os atores de ameaças estão explorando ativamente uma vulnerabilidade de execução remota de código nos produtos de rede BIG-IP da F5 que podem permitir que invasores exfiltrem dados, acessem redes, executem comandos, criem ou excluam arquivos e desabilitem serviços.
Os pesquisadores de segurança anteriores, F5 e o Cyber Command dos EUA, pediram aos usuários que corrigissem a vulnerabilidade nos produtos de rede BIG-IP, rastreados como CVE-2020-5902 . A empresa de segurança Expanse alertou que cerca de 8.000 instalações não foram corrigidas para essa falha (consulte: Milhares de produtos de rede B5-BIG-IP defeituosos não corrigidos ).
A CISA, que faz parte do Departamento de Segurança Interna dos EUA, observa em seu aviso que, desde 6 de julho, os atores de ameaças estão examinando e realizando reconhecimento à procura de instalações vulneráveis de instalações BIG-IP, e agora alguns atacantes estão começando a explorar a vulnerabilidade. .
A CISA confirmou que até agora, duas organizações foram comprometidas, mas está investigando outros ataques, segundo o alerta.
“A CISA conduziu compromissos de resposta a incidentes no governo dos EUA e em entidades comerciais, onde atores maliciosos de ameaças cibernéticas exploraram o CVE-2020-5902 – uma vulnerabilidade do RCE na Interface do Usuário de Gerenciamento de Tráfego BIG-IP (TMUI) – para controlar os sistemas das vítimas”. de acordo com o alerta emitido sexta-feira.
A CISA não ofereceu mais detalhes, mas explicou que as explorações de prova de conceito estão disponíveis para esta vulnerabilidade há várias semanas.
Produtos amplamente utilizados
Quando a vulnerabilidade foi divulgada pela primeira vez em 3 de julho, o CVE-2020-5902 recebeu uma pontuação de 10 em 10 na escala de gravidade CVSSv3, que é uma das razões pelas quais agências governamentais como o Comando Cibernético dos EUA e o Centro de Segurança da Internet MS-ISAC emitiram avisos solicitando correção imediata para a vulnerabilidade (consulte: Correção solicitada como exploração de vulnerabilidade F5 BIG-IP ).
Vários grandes bancos, agências governamentais e provedores de serviços de Internet em todo o mundo usam os produtos de rede BIG-IP, juntamente com a Microsoft e a Oracle.
A vulnerabilidade CVE-2020-5902 está localizada na porta de gerenciamento localizada na Interface do Usuário de Gerenciamento de Tráfego, de acordo com a empresa de segurança Positive Technologies , que descobriu a vulnerabilidade e chamou a atenção da F5 no início deste mês.
Mitigação
Em alerta, a CISA observa que espera ver mais ataques explorando produtos de rede F5 BIG-IP sem patch e recomenda fortemente que usuários e administradores atualizem seus sistemas e apliquem correções sempre que possível.
Além de incentivar as organizações a corrigir, o CISA fornece medidas de detecção e estratégias de mitigação. Ele recomenda que os administradores verifiquem o aviso de segurança da F5 quanto a indicadores de comprometimento e usem a Ferramenta de detecção de IoC CVE-2020-5902 da F5 para verificar a possibilidade de exploração. A agência também recomenda que as organizações colocem em quarentena ou tomem sistemas offline que foram potencialmente afetados por uma exploração.
Para organizações que tiveram seus produtos de rede BIG-IP comprometidos, a CISA recomenda várias etapas para ajudar a mitigar os riscos, incluindo:
- Reimagine hosts comprometidos;
- Provisionar novas credenciais de conta;
- Limite o acesso à interface de gerenciamento na máxima extensão possível;
- Implemente a segmentação de rede.
FONTE: BANKINFO SECURITY