Kritischer F5 BIG-IP-Fehler wird jetzt aktiv angegriffen

Cyber Security News

Forscher berichten, dass eine kritische Schwachstelle in der F5 BIG-IP und BIG-IQ Enterprise Networking-Infrastruktur massenhaft gescannt und bereits aktiv ausgenutzt wird.

Angreifer nutzen eine kürzlich gepatchte, kritische Sicherheitslücke in F5-Geräten aus, die noch nicht aktualisiert wurden.

Die Schwachstelle für nicht authentifizierte Remote-Befehlsausführung (CVE-2021-22986) besteht in der F5 BIG-IP- und BIG-IQ-Unternehmensnetzwerkinfrastruktur und könnte es Angreifern ermöglichen, die vollständige Kontrolle über ein anfälliges System zu übernehmen.

Anfang März veröffentlichte F5 einen Patch für die Schwachstelle, die ein CVSS-Rating von 9.8 hat und in der iControl REST-Schnittstelle vorhanden ist. Nach der Veröffentlichung des Patches veröffentlichten mehrere Forscher Proof-of-Concept (PoC) Exploit-Code, nachdem sie den Java-Software-Patch in BIG-IP zurückentwickelt hatten.

[Blocked Image: https://media.threatpost.com/w…2/19151457/subscribe2.jpg]

In dieser Woche meldeten Forscher, dass die Schwachstelle massenhaft gescannt und ausgenutzt wurde.

“Seit dieser Woche und insbesondere in den letzten 24 Stunden (18. März 2021) haben wir mehrere Exploit-Versuche gegen unsere Honeypot-Infrastruktur beobachtet”, sagten Forscher der NCC Group am Donnerstag. “Aufgrund dieser Erkenntnisse und der Tatsache, dass wir die vollständige Exploit-Chain reproduziert haben, gehen wir davon aus, dass ein Exploit wahrscheinlich bald öffentlich verfügbar sein wird.”

CISA, Forscher drängen auf Aktualisierung

Die U.S. Cybersecurity and Infrastructure Agency (CISA) hat Unternehmen, die BIG-IP und BIG-IQ einsetzen, dringend aufgefordert, den kritischen F5-Fehler zu beheben, zusammen mit einem weiteren Fehler, der als CVE-2021-22987 verfolgt wird. Diese Schwachstelle mit einem CVSS-Rating von 9.9 betrifft das Traffic Management User Interface (TMUI) der Infrastruktur, das auch als Konfigurationsprogramm bezeichnet wird. Wenn die TMUI im Appliance-Modus ausgeführt wird, weist sie eine authentifizierte RCE-Schwachstelle in nicht näher bezeichneten Seiten auf.

Opportunistische Massenscan-Aktivitäten wurden von den folgenden Hosts entdeckt, die nach F5 iControl REST-Endpunkten suchen, die für Remote-Befehlsausführung anfällig sind (CVE-2021-22986).

112.97.56.78 (🇨🇳)13.70.46.69 (🇭🇰)115.236.5.58 (🇨🇳)

Hersteller-Hinweis: https://t.co/MsZmXEtcTn #threatintel

– Bad Packets (@bad_packets) 19. März 2021

Das Szenario ist besonders dringlich, da F5 Enterprise Networking für einige der größten Tech-Unternehmen der Welt bereitstellt, darunter Facebook, Microsoft und Oracle, sowie für eine Reihe von Fortune-500-Unternehmen, darunter einige der weltweit größten Finanzinstitute und ISPs.

“Die F5 BIG-IP ist ein sehr saftiges Ziel, da sie hochsensible Daten verarbeiten kann”, so Craig Young, Principal Security Researcher bei Tripwire in einer E-Mail. “Ein Angreifer, der die volle Kontrolle über eine Load-Balancing-Appliance hat, kann auch die Kontrolle über die Webanwendungen übernehmen, die über sie bedient werden.”

Es ist nicht klar, wer hinter den Exploits steckt; Threatpost hat sich an die NCC Group gewandt, um weitere Kommentare zu erhalten.

Andere aktive Exploits von F5-Schwachstellen

Sicherheitsexperten drängten Unternehmen im Juli dazu, dringend einen Patch für eine kritische Schwachstelle in den Netzwerkgeräten von F5 Networks zu installieren, die von Angreifern aktiv ausgenutzt wurde, um Anmeldedaten abzugreifen, Malware zu starten und mehr. Die kritische Schwachstelle zur Remote-Code-Ausführung (CVE-2020-5902) hatte einen CVSS-Score von 10 von 10.

Und im September warnte die US-Regierung, dass chinesische Bedrohungsakteure erfolgreich mehrere staatliche und private Einrichtungen kompromittiert haben, indem sie Schwachstellen in F5 BIG-IP-Geräten (sowie in Citrix und Pulse Secure VPNs und Microsoft Exchange-Servern) ausnutzten.

Bei dieser jüngsten Welle von Exploit-Versuchen sollte jeder, der eine betroffene Version von BIG-IP einsetzt, ein Upgrade priorisieren, so Young.

“Jede Organisation, die BIG-IP oder eine andere Netzwerk-Appliance einsetzt, deren Management-Zugang dem Internet ausgesetzt ist, sollte ihr Netzwerk-Layout neu bewerten und diese Anlagen in private Netzwerke verlagern”, sagte er.

Registrieren Sie sich für diese LIVE-Veranstaltung: 0-Day Disclosures: Good, Bad & Ugly: Am 24. März um 14 Uhr ET befasst sich Threatpost damit, wie Schwachstellen-Enthüllungen ein Risiko für Unternehmen darstellen können. Diskutiert werden sollen Microsoft 0-Days, die in Exchange-Servern gefunden wurden. Schließen Sie sich den 0-Day-Jägern von Intel Corp. und erfahrenen Bug-Bounty-Forschern an, die die 0-Day-Ökonomie entwirren und auspacken werden, was für alle Unternehmen auf dem Spiel steht, wenn es um den Offenlegungsprozess geht. Registrieren Sie sich JETZT für dieses LIVE-Webinar am Mi., 24. März.

Einige Teile dieses Artikels stammen aus:
threatpost.com