Inicio » Falla de seguridad del equilibrador de carga BIG-IP lo puede convertir en un atacante cibernético
CIBERSEGURIDAD

Falla de seguridad del equilibrador de carga BIG-IP lo puede convertir en un atacante cibernético

BIG-IP-F5-Secure
El proveedor de seguridad cibernética F-Secure está asesorando a las organizaciones que utilizan el equilibrador de carga BIG-IP de F5 Networks, que es popular entre gobiernos, bancos y otras grandes corporaciones, para abordar problemas de seguridad en algunas configuraciones comunes del producto

El proveedor de seguridad cibernética F-Secure está asesorando a las organizaciones que utilizan el equilibrador de carga BIG-IP de F5 Networks, que es popular entre gobiernos, bancos y otras grandes corporaciones, para abordar problemas de seguridad en algunas configuraciones comunes del producto

Los adversarios pueden explotar estos equilibradores de carga configurados de forma insegura para penetrar en las redes y realizar una amplia variedad de ataques contra organizaciones o individuos que utilizan servicios web administrados por un dispositivo comprometido.

Potencial de explotación de BIG-IP

El problema de seguridad está presente en el lenguaje de programación Tcl en el que están escritas las iRules de BIG-IP (es decir, los scripts Tcl). Ciertas prácticas de codificación permiten a los atacantes inyectar comandos Tcl arbitrarios, que podrían ejecutarse en el contexto de seguridad del script Tcl objetivo.

Los adversarios que explotan con éxito tales iRules configuradas de forma insegura pueden usar el dispositivo BIG-IP comprometido como una cabeza de playa para lanzar más ataques, lo que resulta en una violación potencialmente grave para una organización. También podrían interceptar y manipular el tráfico web, lo que llevaría a la exposición de información confidencial, incluidas las credenciales de autenticación y los secretos de las aplicaciones, además de permitir que los usuarios de los servicios web de una organización sean atacados y atacados.

En algunos casos, explotar un sistema vulnerable puede ser tan simple como enviar un comando o parte del código como parte de una solicitud web, que la tecnología ejecutará para el atacante. Para empeorar las cosas, hay casos en los que el dispositivo comprometido no registrará las acciones de los adversarios, lo que significa que no habría evidencia de que se haya producido un ataque. En otros casos, un atacante podría eliminar registros que contengan evidencia de sus actividades posteriores a la explotación, lo que dificultaría severamente cualquier investigación de incidentes.

“Este problema de configuración es realmente bastante grave porque es lo suficientemente sigiloso como para que un atacante entre, logre una amplia variedad de objetivos y luego cubra sus huellas. Además, muchas organizaciones no están preparadas para encontrar o solucionar problemas que están enterrados en las cadenas de suministro de software, lo que se suma a un problema de seguridad potencialmente grande “, explica Christoffer Jerkeby, consultor senior de seguridad de F-Secure. “A menos que sepa qué buscar, es difícil prever que ocurra este problema, y ​​aún más difícil de manejar en un ataque real”.

Jerkeby descubrió más de 300,000 implementaciones BIG-IP activas en Internet durante el curso de su investigación, pero debido a limitaciones metodológicas, sospecha que el número real podría ser mucho mayor. Aproximadamente el 60 por ciento de las instancias de BIG-IP que encontró estaban en los Estados Unidos.

La falla de codificación y la clase de vulnerabilidad no es novedosa y se conoce, junto con otras vulnerabilidades de inyección de comandos en otros lenguajes populares, desde hace algún tiempo. Y aunque no todos los que usan BIG-IP se verán afectados, la popularidad del equilibrador de carga entre bancos, gobiernos y otras entidades que brindan servicios en línea a un gran número de personas, combinada con la relativa oscuridad de los problemas de seguridad subyacentes con Tcl, significa cualquier organización usar BIG-IP necesita investigar y evaluar su exposición.

“A menos que una organización haya realizado una investigación en profundidad de esta tecnología, existe una gran posibilidad de que tengan este problema”, dice Jerkeby. “Incluso alguien increíblemente conocedor de la seguridad que trabaja en una empresa con recursos suficientes puede cometer este error. Por lo tanto, difundir la conciencia sobre el tema es realmente importante si queremos ayudar a las organizaciones a protegerse mejor de un posible escenario de incumplimiento “.

Recomendaciones para organizaciones

F5 ha sido notificado de la investigación hace varios meses y ya ha publicado un aviso público que detalla los productos afectados, las declaraciones de Tcl y más.

Debido a que es posible escanear en masa Internet para identificar y explotar instancias vulnerables de la tecnología y, en algunos casos, automatizar este proceso, es probable que el problema atraiga la atención de los cazarrecompensas y atacantes.

Además, se pueden obtener versiones de prueba gratuitas de la tecnología del proveedor, y se puede acceder a las instancias en la nube desde la tienda de AWS por un costo mínimo. Por estas razones, además del impacto potencialmente severo de los ataques que utilizan este defecto, F-Secure está recomendando a las organizaciones que investiguen de manera proactiva si están afectados o no.

Jerkeby ha ayudado a desarrollar dos herramientas gratuitas de código abierto ( 1 , 2 ) que las organizaciones pueden usar para identificar configuraciones inseguras en sus implementaciones BIG-IP. Pero según él, no hay una solución rápida para problemas de seguridad como estos, por lo que depende de las organizaciones abordar el problema.

“La ventaja de este tipo de problema de seguridad es que no todos los que usan el producto se verán afectados. Pero la desventaja es que el problema no se puede solucionar con un parche o actualización de software del proveedor, por lo que depende de las organizaciones hacer el trabajo para verificar si tienen este problema y solucionarlo si lo encuentran “. explica Jerkeby. “Por eso es importante que cualquiera que use BIG-IP sea proactivo al respecto”.

Recomienda consultar estas páginas web para aprender cómo modificar los scripts de Tcl vulnerables.

Jerkeby ha presentado sus hallazgos en Black Hat USA 2019 . Más información técnica se puede encontrar aquí .