Cualquier empresa usando equipo de red BIG-IP de F5 Networks con sede en Seattle tuvo una interrupción durante el fin de semana del 4 de julio, ya que una vulnerabilidad crítica se convirtió en una carrera para implementar una solución. Aquellos que no lo hayan hecho ahora pueden tener un problema mucho mayor en sus manos.
A fines de la semana pasada, las agencias gubernamentales, incluido el Equipo de preparación para emergencias informáticas de los Estados Unidos y el Comando cibernético, hicieron sonar la alarma sobre una vulnerabilidad particularmente desagradable en una línea de productos BIG-IP vendidos por F5 Networks.
Las agencias recomendaron que los profesionales de seguridad implementen de inmediato un parche para proteger los dispositivos de las técnicas de piratería que podrían tomar el control total del equipo de red, ofreciendo acceso a todo el tráfico que tocan y un punto de apoyo para una explotación más profunda de cualquier red corporativa que los use. Ahora, algunas compañías de seguridad dicen que ya están viendo explotar la vulnerabilidad F5 en la naturaleza, y advierten que cualquier organización que no parcheó su equipo F5 durante el fin de semana ya es demasiado tarde.
«Esta es la ventana previa a la explotación para cerrar el portazo justo frente a sus ojos», escribió Chris Krebs, jefe de la Agencia de Seguridad de Infraestructura y Ciberseguridad, en un tuit el domingo por la tarde . «Si no parcheaste esta mañana, asume que estás comprometido».
El problema de BIG-IP
La vulnerabilidad F5, descubierta por primera vez y revelada a F5 por la empresa de ciberseguridad Positive Technologies , afecta una serie de dispositivos llamados BIG-IP que actúan como equilibradores de carga dentro de las grandes redes empresariales, distribuyendo el tráfico a diferentes servidores que alojan aplicaciones o sitios web. Positive Technologies encontró un llamado error de recorrido de directorio en la interfaz de administración basada en la web para esos dispositivos BIG-IP, lo que permite que cualquiera que pueda conectarse a ellos acceda a información a la que no está destinado.
Esa vulnerabilidad fue exacerbada por otro error que permite que un atacante ejecute un «shell» en los dispositivos que esencialmente permite que un hacker ejecute cualquier código que elija.
El resultado es que cualquiera que pueda encontrar un dispositivo BIG-IP sin parches expuesto a Internet puede interceptar y meterse con el tráfico que toca. Los hackers podrían, por ejemplo, interceptar y redirigir las transacciones realizadas a través del sitio web de un banco, o robar las credenciales de los usuarios. También podrían usar el dispositivo pirateado como un punto de salto para tratar de comprometer otros dispositivos en la red.
Dado que los dispositivos BIG-IP tienen la capacidad de descifrar el tráfico vinculado a los servidores web, un atacante podría incluso usar el error para robar las claves de cifrado que garantizan la seguridad del tráfico HTTPS de una organización con los usuarios, advierte Kevin Gennuso, un profesional de ciberseguridad para un importante Minorista estadounidense. «Es muy, muy poderoso», dice Gennuso, quien se negó a nombrar a su empleador pero dijo que ‘ Había pasado gran parte del fin de semana festivo trabajando para corregir las vulnerabilidades de seguridad en sus dispositivos F5.
«Esta es probablemente una de las vulnerabilidades más impactantes que he visto en mis más de 20 años de seguridad de la información, debido a su profundidad y amplitud y a la cantidad de compañías que usan estos dispositivos».
Cuando fue contactado para hacer comentarios, F5 envió un aviso de seguridad que la compañía publicó el 30 de junio . «Esta vulnerabilidad puede resultar en un compromiso total del sistema», se lee en la página, antes de detallar cómo las empresas pueden mitigarlo.
¿Qué tan serio es esto?
El error de F5 es particularmente preocupante porque es relativamente fácil de explotar y también ofrece un gran menú de opciones para los piratas informáticos. Los investigadores de seguridad han señalado que la URL que desencadena la vulnerabilidad puede caber en un tweet: un investigador del Equipo de Respuesta a Emergencias Informáticas de Corea del Sur publicó dos versiones en un solo tweet junto con un video de demostración . Dado que el ataque apunta a la interfaz web de un dispositivo vulnerable, puede llevarse a cabo en su forma más simple simplemente engañando a alguien para que visite una URL cuidadosamente diseñada.
Si bien muchas de las pruebas de concepto públicas demuestran solo las versiones más básicas del ataque F5, que simplemente obtienen el nombre de usuario y la contraseña del administrador del dispositivo, el error también podría usarse para esquemas más elaborados. Un atacante podría redirigir el tráfico a un servidor bajo su control, o incluso inyectar contenido malicioso en el tráfico para apuntar a otros usuarios u organizaciones. «Un actor lo suficientemente inteligente podría hacer eso», dice Joe Slowik, analista de seguridad de la firma de seguridad del sistema de control industrial Dragos. «Esto da mucho miedo, muy rápido».
¿Quién está afectado?
La buena noticia para los defensores es que solo una pequeña minoría de dispositivos F5 BIG-IP, aquellos que tienen su interfaz de administración basada en la web expuesta a Internet, son directamente explotables. Según Positive Technologies, eso todavía incluye 8,000 dispositivos en todo el mundo, un número más o menos confirmado por otros investigadores que utilizan la herramienta de búsqueda en Internet Shodan. Alrededor del 40 por ciento de ellos se encuentran en los Estados Unidos, junto con el 16 por ciento en China y porcentajes de un solo dígito en otros países del mundo.
Los propietarios de esos dispositivos han tenido desde el 30 de junio, cuando F5 reveló por primera vez el error junto con su parche, para actualizar. Pero muchos pueden no haberse dado cuenta inmediatamente de la gravedad de la vulnerabilidad. Otros pueden haber dudado en desconectar su equipo de equilibrio de carga para implementar un parche no probado, señala Gennuso, por temor a que los servicios críticos puedan fallar, lo que retrasaría aún más una solución.
[isc_list]
