Dos vulnerabilidades descubiertas recientemente en la plataforma de seguridad y entrega de aplicaciones Big-IP de F5 Networks ahora están siendo encadenadas y explotadas por actores de amenazas, poniendo en riesgo a miles de usuarios de la popular familia de productos. La plataforma se introdujo por primera vez en 1997 y desde entonces se ha ampliado para incluir una gama de servicios de redes y seguridad que cubren áreas como equilibrio de carga, descarga de SSL, firewalls de aplicaciones web (WAF) y aceleración de aplicaciones. Las dos fallas en la plataforma (designaciones asignadas CVE-2023-46747 y CVE-2023-46748) se revelaron a fines de octubre. La primera de ellas es una vulnerabilidad de ejecución remota de código (RCE) no autenticada en la utilidad de configuración Big-IP. En aquellos elementos de la familia de productos a los que se aplica, tiene una puntuación CVSSv3 de 9,8 y es de gravedad crítica. La segunda es una vulnerabilidad de inyección SQL autenticada, también en la utilidad de configuración. En aquellos elementos de la familia de productos a los que se aplica, tiene una puntuación CVSSv3 de 8,8 y es de alta gravedad. Se pueden encontrar más detalles sobre qué elementos están en riesgo y las revisiones disponibles en los avisos vinculados, que también contienen orientación sobre mitigación e indicadores de compromiso (IoC). En una actualización publicada a principios de esta semana, F5 dijo que ahora estaba viendo la explotación de la cadena de vulnerabilidad en la naturaleza. «Esta información se basa en la evidencia que F5 ha visto en dispositivos comprometidos, que parecen ser indicadores confiables», señaló la organización en sus avisos. “Es importante tener en cuenta que no todos los sistemas explotados pueden mostrar los mismos indicadores y, de hecho, un atacante hábil puede eliminar rastros de su trabajo. No es posible demostrar que un dispositivo no ha sido comprometido; cuando hay alguna incertidumbre, se debe considerar que el dispositivo está comprometido”. Desde entonces, los investigadores que informaron inicialmente sobre las vulnerabilidades, Michael Weber y Thomas Hendrickson de Praetorian, un especialista en pruebas de penetración y seguridad ofensiva, han publicado más detalles técnicos de las vulnerabilidades. También se ha puesto a disposición una prueba de concepto (PoC), por lo que es probable que la explotación comience a aumentar en los próximos días. Colin Little, ingeniero de seguridad de Centripetal, un proveedor de servicios de inteligencia sobre amenazas respaldados por IA, dijo que el hecho de que se sigan encontrando vulnerabilidades graves en plataformas críticas como los balanceadores de carga sería una fuente de frustración para sus usuarios. “Las vulnerabilidades están indeleblemente vinculadas, ya que una requiere autenticación y la otra es la omisión de autenticación. También están presentes en la misma empresa de servicios públicos, lo que revela un punto débil terriblemente débil y probablemente cierta negligencia o supervisión en el ciclo de vida del desarrollo”, dijo. “Es posible que un atacante hábil elimine rastros de su trabajo y no es posible demostrar que un dispositivo no ha sido comprometido. Estos hechos son raros y quizás únicos cuando se los analiza de manera exclusiva, y absolutamente únicos cuando se los analiza en conjunto. Le da un significado completamente nuevo a «asumir incumplimiento» cuando el fabricante lo indica en la documentación oficial de su producto. Little agregó: “Si no hay una versión fija disponible, las mitigaciones para CVE-2023-46747 parecen incluir un script complejo plagado de advertencias como ‘no debe instalarse en esta versión’ y ‘tenga mucho cuidado al editar esta sección… ‘. La mitigación parece complicada y F5 confía en gran medida en las habilidades del administrador del sistema para aplicarla”.

Source link