La vulnerabilidad de seguridad CVE-2021-22986, ejecuta comandos remotos (RCE) no autenticada.
AS-027-2021
Fecha: 22/Marzo/2021
Resumen:
Los intentos de explotación han comenzado a principios de esta semana y se han intensificado durante las últimas 24 horas, con la actividad de escaneo masivo detectados por la firma de ciberseguridad NCC Group y , por una vulnerabilidad crítica recientemente parchada en los dispositivos de red F5 BIT-IP y BIG-IQ.
Este conocimiento, combinado con haber reproducido toda la cadena de explotación, evaluamos que es probable que pronto haya una explotación disponible en el dominio público.
La vulnerabilidad de seguridad que estos atacantes intentan explotar es una ejecución de comandos remotos (RCE) no autenticada rastreada como CVE-2021-22986, que afecta a la mayoría de las versiones de software F5 BIG-IP y BIG-IQ.
Varios investigadores de seguridad ya han compartido código de explotación de prueba de concepto después de la ingeniería inversa del parche BIG-IP.
La explotación exitosa de este error (con una calificación de gravedad de 9.8/10) podría conducir a un compromiso completo del sistema, incluyendo el movimiento lateral a la red interna y la intercepción del tráfico de aplicaciones del controlador.
CISA emitió otro aviso diciendo que grupos de hackers respaldados por China se dirigieron a las agencias gubernamentales persiguiendo y tratando de hackear sus dispositivos y servidores vulnerables de F5, Microsoft Exchange, Citrix, Pulse Secure.
Solución:
Parchar los sistemas BIG-IP y BIG-IQ a una versión fija lo antes posible y otros tres fallos críticos de seguridad que afectan a sus productos.
Referencias:
https://www.bankinfosecurity.com/attackers-exploiting-critical-f5-networks-vulnerability-a-16238
https://thehackernews.com/2021/03/latest-f5-big-ip-bug-under-active.html
https://securityaffairs.co/wordpress/115760/hacking/f5-big-ip-attacks-cve-2021-22986.html
