Sieci korporacyjne są narażone na całkowite przejęcie kontroli (w przypadku F5) lub ujawnienie poufnych informacji (w przypadku Cisco).

Luki są dwie

Hakerzy wykorzystują aktualnie dwie niepowiązane ze sobą luki o wysokim stopniu zagrożenia. Umożliwiają one nieuwierzytelniony dostęp lub nawet całkowite przejęcie sieci opartych na urządzeniach topowych producentów - a więc sieci największych firm i organizacji rządowych.

Problem dla Big-IP od F5

Stanowiące największe zagrożenie exploity wykorzystują krytyczną lukę w zaawansowanym kontrolerze Big-IP firmy F5. Jest to urządzenie, które zwykle znajduje się między granicznym firewallem a aplikacją internetową i ma na celu, oprócz innych zadań, przede wszystkim równoważenie obciążenia (load balancing). Luka, którą F5 załatała trzy tygodnie temu, umożliwia nieuwierzytelnionym atakującym zdalne uruchamianie poleceń lub wybranego przez nich kodu. Atakujący mogą następnie wykorzystać uzyskaną właśnie kontrolę nad urządzeniem, aby przejąć kontrolę nad siecią wewnętrzną, z którą jest połączony.

Właśnie możliwość zdalnego wykonaniu kodu w urządzeniu zlokalizowanym w tak wrażliwej części sieci nadała tej luce maksymalny wskaźnik ważności wynoszący 10. Natychmiast po opublikowaniu przez F5 łatki 30 czerwca 2020 roku specjaliści z zakresu bezpieczeństwa przewidzieli, że usterka oznaczona pod numerem CVE-2020-5902 może zostać wykorzystana we wszystkich podatnych sieciach, które nie doczekały się ciągle zainstalowania aktualizacji. W piątek amerykańska Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) wydała zalecenia, w których czytamy iż te ostrzeżenia są jak najbardziej uzasadnione. Czytamy w nich, że:

CISA przeprowadziła działania w zakresie reagowania na incydenty występujące zarówno w agencjach rządowych Stanów Zjednoczonych jak i w podmiotach komercyjnych, w których cyberprzestępcy wykorzystali CVE-2020-5902 - lukę RCE w BIG-IP Traffic Management User Interface (TMUI). Celami ataków było przejęcie kontroli nad systemami ofiar.

W ciągu kilku dni od wydania poprawki F5 dla tej luki Agencja zaobserwowała przeprowadzenie tak rozpoznania jak i skanowania pod kątem podatności ale przede wszystkim zanotowano udane ataki z wykorzystaniem CVE-2020-5902. Już 6 lipca 2020 roku CISA obserwowała szeroko zakrojone działania skanujące pod kątem obecności tej luki w departamentach i agencjach federalnych – miały one miejsce także w chwili publikacji tego alertu.

Obecnie CISA współpracuje z wieloma podmiotami z różnych sektorów, aby zbadać przypadki udanego wykorzystania tej luki przez cyberprzestępców. Agencja potwierdziła póki co dwa konkretne, udane ataki i nadal prowadzi dochodzenie. W najbliższym czasie możemy też oczekiwać aktualizacji alertu o wszelkie dodatkowe informacje umożliwiające podjęcie działań zaradczych i naprawczych.

Cisco ma problem z path-traversal flaw

Na tym nie koniec aktualnych kłopotów administratorów sieci. Atakujący wykorzystują także drugą lukę w zabezpieczeniach, dotyczącą dwóch produktów sieciowych sprzedawanych przez Cisco. Usterka oznaczona jako CVE-2020-3452 dotyczący path-traversal flaw usytuowaną w firmowych systemach Adaptive Security Appliance i Firepower Threat Defense. Umożliwia nieuwierzytelnionym osobom zdalne przeglądanie poufnych plików, co może prowadzić między innymi do ujawnienia konfiguracji WebVPN, zakładek, plików cookie, częściowo treści odwiedzanych stron internetowych oraz adresów URL. Cisco wydało poprawkę w środę. Dzień później podało także do publicznej informacji, że:

Firma Cisco dowiedziała się o dostępności publicznego kodu exploita i aktywnym wykorzystywaniu luki w zabezpieczeniach. Cisco zachęca klientów, których dotyczy problem, do jak najszybszej aktualizacji do wersji poprawionej.

Kod proof-of-concept zaczął krążyć w sieci niemal natychmiast po wydaniu poprawki przez Cisco, rozpoczynając wyścig między atakującymi i administratora firmowych LANów.

Skutki jakie powoduje wykorzystywanie luk są poważne, zwłaszcza dla klientów firmy F5. Administratorzy powinni niezwłocznie przeglądnąć i zaktualizować swoje systemy.