Los hackers intentan robar contraseñas de administrador de dispositivos F5 BIG-IP



Los piratas informáticos han comenzado a lanzar ataques contra los dispositivos de red F5 BIG-IP, según ZDNet. Los ataques han sido vistos hoy por Rich Warren, un investigador de seguridad del Grupo NCC. En una entrevista el día de hoy, Warren le dijo a ZDNet que los ataques son de naturaleza maliciosa y que los piratas informáticos intentan robar contraseñas de administrador de los dispositivos pirateados.
Estos ataques apuntan a BIG-IP, un dispositivo de red multipropósito fabricado por F5 Networks. Los dispositivos BIG-IP pueden configurarse para funcionar como sistemas de modelado de tráfico, equilibradores de carga, firewalls, puertas de acceso, limitadores de velocidad o middleware SSL. Estos dispositivos son algunos de los productos de red más populares en uso hoy en día, y se utilizan para apuntalar algunas de las redes más grandes y sensibles que existen.
Los dispositivos BIG-IP se usan en redes gubernamentales, en redes de proveedores de servicios de Internet, dentro de centros de datos de computación en la nube, y se implementan ampliamente en redes empresariales. Los dispositivos son tan potentes y populares que, en su sitio web, F5 afirma que 48 de las 50 compañías incluidas en la lista Fortune 50 dependen de sistemas BIG-IP. El miércoles, F5 Networks publicó parches y lanzó un aviso de seguridad sobre una vulnerabilidad de "ejecución remota de código" en dispositivos BIG-IP.
F5 dijo que la vulnerabilidad, rastreada como CVE-2020-5902, podría permitir a los atacantes tomar el control total sobre los sistemas no parcheados que son accesibles en Internet. La vulnerabilidad se consideró tan peligrosa que recibió un puntaje de gravedad de 10, el máximo en la escala de gravedad CVSSv3. Este puntaje significa que la vulnerabilidad es fácil de explotar, automatizar, puede usarse en Internet y no requiere credenciales válidas o habilidades de codificación avanzadas para aprovecharla.
La comunidad de ciberseguridad esperaba que este error cayera bajo ataques activos tan pronto como los piratas informáticos descubrieran cómo podrían explotarlo. Los expertos en ciberseguridad han estado tratando de alertar sobre la necesidad urgente de corregir este error, sin demora, desde el miércoles, cuando se hizo público, ya que cualquier ataque exitoso otorgaría a los actores de la amenaza acceso total a algunas de las TI más importantes del mundo. redes. Sus esfuerzos para llamar la atención sobre este tema fueron ayudados por el Comando Cibernético de EE. UU., Que, el viernes por la noche, solo unas horas antes del 4 de julio, pidió a los administradores del sistema que se tomaran el tiempo para parchear dispositivos BIG-IP, también por temor a lo mismo.
Según Warren, esos ataques comenzaron solo horas después del tweet del Comando Cibernético de EE. UU. Warren, que actualmente opera honeypots BIG-IP, servidores diseñados para parecerse a dispositivos BIG-IP, dijo que detectó ataques maliciosos provenientes de cinco direcciones IP diferentes. En los registros compartidos con ZDNet, Warren señaló la fuente de esos ataques y confirmó que eran maliciosos.
"La vulnerabilidad le permite invocar archivos .JSP utilizando una secuencia transversal", dijo Warren a ZDNet el día de hoy. "Esto, a su vez, le permite (ab) usar la funcionalidad de los archivos JSP autenticados de otro modo para hacer cosas como leer archivos o, eventualmente, ejecutar código. "Hasta ahora, lo que hemos visto es un atacante que lee varios archivos diferentes de los honeypots y ejecuta comandos a través de un archivo .JSP incorporado.
Con esto pudieron deshacerse de las contraseñas de administrador cifradas, configuraciones". etc. ", dijo Warren.
La vulnerabilidad BIG-IP es el tipo de bicho de seguridad que los grupos de piratería de estado-nación y las pandillas de ransomware han estado explotando durante casi un año, pero en otros productos. Desde agosto, los grupos de piratería han estado explotando errores similares de RCE en las VPN de Secure Pulse y las puertas de enlace de red Citrix para afianzarse en las redes corporativas, y luego plantar puertas traseras, robar archivos confidenciales o instalar ransomware. Los errores Pulse Secure y Citrix han sido el pan de cada día para las pandillas de ransomware, en particular. En muchos casos, ni siquiera explotaron los errores de inmediato. Plantaron puertas traseras y luego regresaron días, semanas o meses después para monetizar su acceso. Se sabe que las pandillas de ransomware como REvil, Maze o Netwalker dependen en gran medida de este tipo de errores para atacar a algunas de las compañías más grandes del mundo, y los expertos en seguridad dicen que la vulnerabilidad BIG-IP es solo el tipo de error que alimentará su próxima ola. de ataques.
.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı