Vulnerabilità Critiche in F5 BIG-IP, BIG-IQ Abilitano l’Esecuzione di Codice Remoto su Sistemi Vulnerabili
Indice:
Il 10 marzo 2021, F5 ha affrontato una serie di problemi di sicurezza critici che potrebbero essere sfruttati da attaccanti remoti per ottenere il pieno controllo sui host vulnerabili. Secondo il fornitore, quattro bug critici esistono nei suoi prodotti BIG-IP e BIG-IQ, permettendo l’esecuzione di codice remoto (RCE) sulle istanze interessate. L’esistenza di queste falle di sicurezza potrebbe avere conseguenze devastanti poiché 48 delle 50 aziende di Fortune si affidano ai prodotti F5 per l’infrastruttura di rete aziendale. Questo elenco include famosi fornitori di tecnologia, agenzie governative, fornitori di assistenza sanitaria, istituzioni finanziarie e aziende di telecomunicazioni.
Vulnerabilità Critiche in F5 BIG-IP, BIG-IQ
Le falle più urgenti e insidiose sono CVE-2021-22986 e CVE-2021-22987, che hanno ricevuto rispettivamente punteggi di gravità CVSS di 9.8 e 9.9. Il primo problema (CVE-2021-22986) è una vulnerabilità di esecuzione remota di comandi non autenticata che risiede nell’interfaccia iControl REST. Consente agli hacker di eseguire comandi di sistema arbitrari, creare/eliminare file e gestire servizi di sistema. Il secondo bug (CVE-2021-22987) deriva da una errata configurazione nell’interfaccia utente di gestione del traffico (TMUI) e risulta in RCE autenticato in pagine non divulgate se eseguito in modalità applicazione.
Gli altri due bug critici di F5 BIG-IP e BIG-IQ (CVE-2021-22991, CVE-2021-22992) sono problemi di overflow del buffer derivanti dal Microkernel di Gestione del Traffico (TMM) e dai server virtuali WAF/ASM avanzati. Entrambe le falle hanno ricevuto un punteggio di gravità CVSS di 9.0, consentendo l’esecuzione di codice remoto e il denial-of-service (DoS) sulle installazioni colpite.
Oltre ai problemi di sicurezza critici, F5 ha corretto due bug di alta gravità (CVE-2021-22988, CVE-2021-22989) e uno di media gravità (CVE-2021-2290) che portano anch’essi all’esecuzione di codice remoto.
Rilevamento e Mitigazione
Secondo l’ avviso di F5, i quattro buchi critici interessano le versioni di BIG-IP 11.6 o 12.x e successive, con uno di essi che interessa anche le versioni di BIG-IQ 6.x e 7.x. La patch di sicurezza per i problemi è stata rilasciata questa settimana, quindi gli utenti sono invitati ad aggiornare prontamente.
Per rilevare tentativi di sfruttamento possibili e abilitare una difesa proattiva contro le intrusioni, il SOC Prime Team ha rilasciato un set di regole Sigma disponibili al Threat Detection Marketplace.
Possibile F5 CVE-2021-22991 (via Zeek)
Possibile F5 CVE-2021-22992 (via web)
Resta sintonizzato sul nostro blog per non perdere ulteriori aggiornamenti e nuove rilevazioni relative a queste pericolose falle. Tutte le nuove informazioni e le regole Sigma in arrivo verranno aggiunte a questo articolo.
F5 è la seconda azienda leader mondiale ad aver urgentemente corretto falle estremamente pericolose nei suoi prodotti. All’inizio di marzo 2021, Microsoft ha affrontato diverse vulnerabilità zero-day che interessano il suo Exchange Server. Le falle sono state immediatamente sfruttate sul campo da diversi attori di minacce, compresa l’APT affiliata alla Cina Hafnium. Il SOC Prime Team ha rilasciato un set di regole Sigma per abilitare la rilevazione rapida e la difesa proattiva contro questi problemi zero-day. L’elenco delle rilevazioni è disponibile nel nostro post sul blog. Inoltre, le regole sono state aggiunte a Uncoder.io, lo strumento di SOC Prime per convertire il formato delle regole Sigma in contenuti di rilevazione delle minacce su misura per la piattaforma di sicurezza in uso.
Iscriviti al Threat Detection Marketplace, la prima piattaforma di Content-as-a-Service (CaaS) e Detection as Code del settore che aggrega la più grande libreria mondiale di regole di rilevazione e risposta, parser, query di ricerca e altri contenuti SOC curati. Oltre 300 collaboratori arricchiscono la nostra libreria globale ogni giorno per consentire il rilevamento continuo delle minacce informatiche più allarmanti nelle prime fasi del ciclo di vita dell’attacco. Vuoi partecipare a queste attività di caccia alle minacce? Unisciti al Threat Bounty Program di SOC Prime per un futuro più sicuro!