La compañía F5 Networks lanzó la semana pasada un parche que repara una vulnerabilidad crítica (puntaje de 10 sobre 10 de acuerdo con la escala de severidad de CVSSv3) que fue descubierta, según explicó la compañía, en la Traffic Management User Interface (TMUI), que es una utilidad de configuración de BIG-IP, su controlador de entrega de aplicaciones (ADC, por sus siglas en inglés).
El fallo (CVE-2020-5902) puede permitir a un atacante obtener control total del sistema y exportar las credenciales de usuario al poder acceder al TMUI sin autenticación y crear o eliminar archivos, deshabilitar servicios o incluso ejecutar código de manera remota.
Vale la pena destacar que BIG-IP es un dispositivo de red multipropósito muy popular que es utilizado por una gran cantidad de compañías que manejan información sensible a lo largo del mundo. Los dispositivos BIG-IP son utilizados tanto en redes gubernamentales y de proveedores de servicios de Internet (ISPs), así como por bancos a lo largo del mundo y muchas redes empresariales. Según explica F5 en su sitio web, este producto es utilizado por 48 compañías que integran la lista Fortune 50. De hecho, dada la criticidad de la vulnerabilidad y su potencial impacto, el Cibercomando de Estados Unidos replicó la advertencia emitida por la compañía y llamó a instalar el parche que repara el fallo lo antes posible.
URGENT: Patching CVE-2020-5902 and 5903 should not be postponed over the weekend. Remediate immediately. https://t.co/UBKECuN7Vv
— USCYBERCOM Cybersecurity Alert (@CNMF_CyberAlert) July 3, 2020
Dos días después de que se lanzara el parche que repara la vulnerabilidad comenzaron a publicarse pruebas de concepto (PoCs) que demostraban lo sencillo que es explotarla e ingresar en estos dispositivos para exfiltrar información y ejecutar comando en los dispositivos vulnerables, mientras que al tercer día de hacerse público el fallo comenzó a registrarse actividad maliciosa intentando explotar la vulnerabilidad.
Según afirmó el 4 de julio Rich Warren, un investigador del NCC Group, el fin de semana comenzó a detectarse actividad intentando explotar la CVE-2020-5902 con el objetivo de robar contraseñas de administrador de dispositivos comprometidos, publicó ZDnet.
Ok, we are seeing active exploitation of CVE-2020-5902
Patch it today
— Rich Warren (@buffaloverflow) July 4, 2020
Según explicó el investigador a través de su cuenta de Twitter, los exploits detectados son simples y es de esperarse que en el corto plazo surjan nuevos. En las últimas horas el investigador afirma que detectó un incremento en los intentos de ejecución remota de código y también algunos mineros de criptomonedas.
We've also had, unsurprisingly, a few coinminers and what looks like DvrHelper (a Mirai variant)https://t.co/WuIT5bPvnH pic.twitter.com/xVn5v9tNJn
— Rich Warren (@buffaloverflow) July 6, 2020
De acuerdo con los resultados que muestra la herramienta Shodan, actualmente la cantidad de dispositivos vulnerables a la CVE-2020-5902 superan los 8.400 y en su gran mayoría están en Estados Unidos y China.
Recomendamos a las empresas que se puedan ver afectadas por esta vulnerabilidad revisar el listado de versiones afectada y actualizar lo antes posible.