F5 BIG-IP-apparaten worden actief aangevallen vanwege ernstige kwetsbaarheid
Op 1 juli is er een beveiligingsupdate verschenen voor F5 BIG IP-apparaten omdat er een ernstige kwetsbaarheid is geconstateerd. Sinds afgelopen weekend wordt deze ernstige kwetsbaarheid ook actief aangevallen, laat onderzoeker Rich Warren van (securitybedrijf) NCC Group weten via Twitter. Op een schaal van 1 tot 10 wordt de kwetsbaarheid met 10 beoordeeld voor hoe ernstig hij is. Een aanvaller kan via het beveiligingslek volledige controle krijgen over kwetsbare BIG-IP-apparaten.
F5 BIG-IP
Een afdeling van het Pentagon die zich bezighoudt met cyberoperaties, U.S. Cyber Command genoemd, had vrijdag al geadviseerd de beveiligingsupdate meteen te installeren. Ze raadden af tot na het weekend te wachten. De F5 BIG-IP application delivery controller is een apparaat dat in een datacentrum tussen de firewall en (één of meerdere) applicatieservers wordt geplaatst. De systemen moeten de prestaties van de applicatie verbeteren en de belasting verdelen over meerdere servers. Deze apparaten worden onder andere gebruikt door internetproviders, banken en Fortune 500-bedrijven.
Aanvallers
Het versturen van enkel een speciaal geprepareerd http-request naar de TMUI (Traffic Management User Interface) om de BIG-IP te configureren, is voldoende om aan te vallen. De TMUI moet hiervoor wel toegankelijk zijn vanaf het internet. Dit is standaard het geval, afhankelijk van de gebruikte versie. Securitybedrijf Positive Technologies heeft zowel de eerdere ernstige beveiligingslek in Citrix, als deze kwetsbaarheid ontdekt. Momenteel zijn er ongeveer 8500 kwetsbare systemen te vinden op het internet.
Volgens Rich Warren proberen aanvallers eerst bestanden te lezen en kijken ze of ze wachtwoorden kunnen stelen. Dit wordt de eerste controle genoemd, waarna aanvallers de volledige ‘payload’ uitvoeren op het systeem, zegt de onderzoeker. Een voormalige medewerker van F5, Nate Warfield die tegenwoordig werkzaam is voor het Microsoft Security Response Center, laat weten dat exploit aanvallers volledige toegang tot het systeem krijgt, zonder authenticatie. Hij verwacht binnen één á twee dagen grootschalig misbruik. Bij Shodan is op een wereldkaart duidelijk waar dit probleem het meest voorkomt.
Bron: Security.nl