Gli specialisti della sicurezza informatica riferiscono che i criminali informatici stanno sfruttando un difetto critico nei dispositivi F5 Networks per assumere il controllo dei sistemi vulnerabili. Rintracciato come CVE-2021-22986, il difetto è stato descritto come un errore di esecuzione di comandi arbitrari nell’infrastruttura di rete F5 BIG-IP e BIG-IQ, e sebbene sia stato recentemente aggiornato, ci sono ancora più implementazioni che funzionano senza patch.
Il difetto ha ricevuto un punteggio di 9,8 / 10 sulla scala CVSS (Common Vulnerability Scoring System) ed è stato corretto all’inizio di marzo, consentendo a più membri della comunità della sicurezza informatica di iniziare a rivelare un codice PoC (proof of concept) dopo il reverse engineering del patch di sicurezza rilasciata dall’azienda.
Dopo aver eseguito una scansione massiccia, i ricercatori hanno confermato il rilevamento di alcuni casi di sfruttamento attivo, anche in alcuni honeypot di società di sicurezza come NCC Group.
A questo proposito, la US Cybersecurity and Infrastructure Security Agency (CISA) richiede alle organizzazioni che utilizzano BIG-IP e BIG-IQ di installare le patch necessarie per questo difetto e per CVE-2021-22987, un difetto di esecuzione del codice remoto che influisce sulla gestione del traffico interfaccia utente.
L’installazione di queste patch di sicurezza è urgente, poiché F5 fornisce un’infrastruttura di rete aziendale a molte delle principali società tecnologiche del mondo, tra cui Facebook, Oracle e Microsoft: “BIG-IP è un obiettivo molto interessante per i criminali informatici perché può gestire dati altamente sensibili”, Lo specialista della sicurezza informatica Craig Young afferma: “Gli autori delle minacce che possono assumere il controllo di questi dispositivi potrebbero anche assumere il controllo delle applicazioni web collegate a questi servizi”.
Riguardo ai gruppi di criminali informatici che stanno sfruttando questo difetto, né l’azienda interessata né i gruppi di ricercatori vicini a questi rapporti hanno menzionato alcun attore specifico della minaccia. Né si sa se dietro queste campagne di exploit si nasconda un attore statale.
Da alcuni mesi la comunità della sicurezza informatica ha iniziato ad avvisare i clienti di F5 Networks su alcuni rischi per la sicurezza legati alle loro implementazioni BIG-IP. Uno di questi difetti avrebbe consentito ai criminali informatici di estrarre le credenziali di amministratore, lanciare attacchi malware, tra gli altri scenari di rischio; questo difetto ha ricevuto un punteggio CVSS di 10/10.
CISA ha anche emesso un avviso a settembre 2020 in merito a un gruppo di hacker cinese che stava sfruttando molteplici falle in organizzazioni pubbliche e private attraverso i server F5 BIG-IP, quindi interrompere per operare con versioni software vulnerabili è diventata una priorità per ricercatori ed esperti di sicurezza informatica.