Vulnerabilidades Críticas no F5 BIG-IP e BIG-IQ Permitem Execução Remota de Código em Sistemas Vulneráveis

[post-views]
Março 12, 2021 · 4 min de leitura
Vulnerabilidades Críticas no F5 BIG-IP e BIG-IQ Permitem Execução Remota de Código em Sistemas Vulneráveis

Em 10 de março de 2021, a F5 abordou um conjunto de problemas críticos de segurança que poderiam ser explorados por atacantes remotos para obter controle total sobre os hosts vulneráveis. De acordo com o fornecedor, existem quatro bugs críticos em seus produtos BIG-IP e BIG-IQ, permitindo a execução remota de código (RCE) nas instâncias afetadas. A existência de falhas de segurança pode ter consequências devastadoras, já que 48 das 50 empresas da Fortune dependem dos produtos de infraestrutura de rede corporativa da F5. Esta lista inclui fornecedores de tecnologia renomados, agências governamentais, prestadores de serviços de saúde, instituições financeiras e empresas de telecomunicações.

Vulnerabilidades Críticas no F5 BIG-IP, BIG-IQ

As falhas mais urgentes e perigosas são CVE-2021-22986 e CVE-2021-22987, que receberam pontuações de severidade CVSS de 9.8 e 9.9, respectivamente. O primeiro problema (CVE-2021-22986) é uma vulnerabilidade de execução remota de comandos não autenticada localizada na interface REST do iControl. Permite que hackers executem comandos arbitrários do sistema, criem/excluam arquivos e gerenciem serviços do sistema. O segundo bug (CVE-2021-22987) deriva de uma configuração incorreta na Interface de Usuário de Gerenciamento de Tráfego (TMUI) e resulta em RCE autenticada em páginas não divulgadas se executado no modo de aplicação.

Os dois bugs críticos restantes do F5 BIG-IP e BIG-IQ (CVE-2021-22991, CVE-2021-22992) são problemas de estouro de buffer decorrentes do Microkernel de Gerenciamento de Tráfego (TMM) e servidores virtuais WAF/ASM Avançados. Ambas as falhas receberam uma pontuação de severidade CVSS de 9.0, permitindo execução remota de código e negação de serviço (DoS) nas instalações afetadas.

Junto aos problemas críticos de segurança, a F5 corrigiu dois bugs de alta severidade (CVE-2021-22988, CVE-2021-22989) e um de média severidade (CVE-2021-2290) que também resultam em execução remota de código.

Detecção e Mitigação

De acordo com o aviso da F5, os quatro problemas críticos afetam as versões 11.6 ou 12.x e mais recentes do BIG-IP, com um deles também afetando as versões 6.x e 7.x do BIG-IQ. O patch de segurança para os problemas foi lançado esta semana, então os usuários são instados a atualizar prontamente.

Para detectar possíveis tentativas de exploração e permitir uma defesa proativa contra as intrusões, a Equipe SOC Prime lançou um conjunto de regras Sigma disponíveis no Threat Detection Marketplace.

Possível F5 CVE-2021-22991 (via Zeek)

Possível F5 CVE-2021-22992 (via web)

Fique atento ao nosso blog para não perder mais atualizações e novas detecções relacionadas a essas falhas perigosas. Todas as informações novas e as regras Sigma futuras serão adicionadas a este artigo.

A F5 é a segunda empresa líder mundial a corrigir urgentemente falhas extremamente perigosas em seus produtos. No início de março de 2021, a Microsoft abordou várias vulnerabilidades de dia zero que afetam seu Exchange Server. As falhas foram imediatamente exploradas na natureza por diversos atores maliciosos, incluindo o Hafnium APT afiliado à China. A Equipe SOC Prime lançou um conjunto de regras Sigma para permitir uma detecção rápida e defesa proativa contra esses problemas de dia zero. A lista de detecções está disponível em nosso postagem no blog. Além disso, as regras foram adicionadas ao Uncoder.io, a ferramenta da SOC Prime para converter o formato de regras Sigma em conteúdo de detecção de ameaças adaptado à plataforma de segurança em uso.

Inscreva-se no Threat Detection Marketplace, a primeira plataforma do tipo Detecção como Código (CaaS) da indústria que agrega a maior biblioteca mundial de regras de detecção e resposta, analisadores, consultas de busca e outros conteúdos SOC selecionados. Mais de 300 contribuintes enriquecem nossa biblioteca global diariamente para permitir a detecção contínua das ameaças cibernéticas mais alarmantes nos estágios mais iniciais do ciclo de vida do ataque. Quer participar dessas atividades de caçador de ameaças? Junte-se ao Programa de Recompensa de Ameaças da SOC Prime por um futuro mais seguro!

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião