No último dia 10 de março, a empresa F5 Networks publicou um alerta com os detalhes de uma atualização na qual corrigiu um total de 21 falhas de segurança nos produtos BIG-IP e BIG-IQ, incluindo quatro vulnerabilidades críticas com pontuações de 9,0, 9,8 e 9,9 de acordo à escala de gravidade CVSS. Infelizmente, no dia 18 de março, os pesquisadores já haviam detectado várias tentativas de exploração de pelo menos uma das vulnerabilidades críticas.
Especificamente, a CVE-2021-22986, uma vulnerabilidade de execução remota de código com uma gravidade de 9,8 que não requer autenticação e que está na interface REST do iControl. A falha está presente no BIG-IP e no BIG-IQ e pode fazer com que um cibercriminosos possa comprometer completamente o sistema, o que inclui a criação ou exclusão de arquivos, execução de comandos nos dispositivos, desativação de serviços ou a realização de ataques DDoS.
A partir do lançamento do patch, os pesquisadores desenvolveram e publicaram provas de conceito após fazer engenharia reversa ao patch, ou seja, era de se esperar que os cibercriminosos começassem a lançar ataques tentando explorar a falha em computadores sem a atualização instalada.
No dia 10 de março, a F5 garantiu que na época não tinham conhecimento de casos de exploração de nenhuma das vulnerabilidades corrigidas. No dia 18 de março, pesquisadores da empresa NCC confirmaram a detecção da exploração dessa vulnerabilidade por meio de diferentes PoCs.
Update: several others have shared PoCs of a variant which does not require SSRF. We've also seen attempts using this variant against our honeypot. The blog post has been updated with additional IOCs https://t.co/2h5Ym5blkr
— Rich Warren (@buffaloverflow) March 20, 2021
Por sua vez, a atividade na Internet foi observada com varreduras massivas em diferentes partes do mundo em busca de terminais da F5 que são vulneráveis a CVE-2021-22986.
Mass scanning activity detected from the following hosts checking for F5 iControl REST endpoints vulnerable to CVE-2021-22986 (https://t.co/MsZmXEtcTn).
173.225.104.68 (🇺🇸)
216.147.231.52 (🇺🇸)
191.137.93.117 (🇧🇷)#threatintel— Bad Packets (@bad_packets) March 21, 2021
Além disso, outras empresas começaram a ver uma variante da botnet Mirai tentando explorar essa CVE, embora não se saiba se conseguiram analisá-la de forma eficaz, enquanto outros pesquisadores detectaram a exploração dessa falha em empresas latino-americanas que tentam instalar o XMRig, um minerador de criptomoedas bastante utilizado por cibercriminosos.
Deve-se observar que os produtos da F5 Networks são usados por órgãos governamentais e importantes empresas em setores como financeiro, saúde ou telecomunicações, por exemplo, portanto, o alcance de um ataque a esses sistemas pode ter consequências significativas.
Algo semelhante aconteceu com outra falha de segurança em dispositivos BIG-IP em julho de 2020, quando descobriram que cibercriminosos estavam explorando uma vulnerabilidade crítica de execução remota de código, por isso é muito importante instalar a atualização.
