TeamQuest Blog

Bugi godne uwagi – w F5 i Cisco

Bugi godne uwagi – w F5 i Cisco

Marcin Sarna , 27.07.2020 r.

Sieci korporacyjne są narażone na całkowite przejęcie kontroli (w przypadku F5) lub ujawnienie poufnych informacji (w przypadku Cisco).

Luki są dwie

Hakerzy wykorzystują aktualnie dwie niepowiązane ze sobą luki o wysokim stopniu zagrożenia. Umożliwiają one nieuwierzytelniony dostęp lub nawet całkowite przejęcie sieci opartych na urządzeniach topowych producentów - a więc sieci największych firm i organizacji rządowych.

Problem dla Big-IP od F5

Stanowiące największe zagrożenie exploity wykorzystują krytyczną lukę w zaawansowanym kontrolerze Big-IP firmy F5. Jest to urządzenie, które zwykle znajduje się między granicznym firewallem a aplikacją internetową i ma na celu, oprócz innych zadań, przede wszystkim równoważenie obciążenia (load balancing). Luka, którą F5 załatała trzy tygodnie temu, umożliwia nieuwierzytelnionym atakującym zdalne uruchamianie poleceń lub wybranego przez nich kodu. Atakujący mogą następnie wykorzystać uzyskaną właśnie kontrolę nad urządzeniem, aby przejąć kontrolę nad siecią wewnętrzną, z którą jest połączony.

Właśnie możliwość zdalnego wykonaniu kodu w urządzeniu zlokalizowanym w tak wrażliwej części sieci nadała tej luce maksymalny wskaźnik ważności wynoszący 10. Natychmiast po opublikowaniu przez F5 łatki 30 czerwca 2020 roku specjaliści z zakresu bezpieczeństwa przewidzieli, że usterka oznaczona pod numerem CVE-2020-5902 może zostać wykorzystana we wszystkich podatnych sieciach, które nie doczekały się ciągle zainstalowania aktualizacji. W piątek amerykańska Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) wydała zalecenia, w których czytamy iż te ostrzeżenia są jak najbardziej uzasadnione. Czytamy w nich, że:

CISA przeprowadziła działania w zakresie reagowania na incydenty występujące zarówno w agencjach rządowych Stanów Zjednoczonych jak i w podmiotach komercyjnych, w których cyberprzestępcy wykorzystali CVE-2020-5902 - lukę RCE w BIG-IP Traffic Management User Interface (TMUI). Celami ataków było przejęcie kontroli nad systemami ofiar.

W ciągu kilku dni od wydania poprawki F5 dla tej luki Agencja zaobserwowała przeprowadzenie tak rozpoznania jak i skanowania pod kątem podatności ale przede wszystkim zanotowano udane ataki z wykorzystaniem CVE-2020-5902. Już 6 lipca 2020 roku CISA obserwowała szeroko zakrojone działania skanujące pod kątem obecności tej luki w departamentach i agencjach federalnych – miały one miejsce także w chwili publikacji tego alertu.

Obecnie CISA współpracuje z wieloma podmiotami z różnych sektorów, aby zbadać przypadki udanego wykorzystania tej luki przez cyberprzestępców. Agencja potwierdziła póki co dwa konkretne, udane ataki i nadal prowadzi dochodzenie. W najbliższym czasie możemy też oczekiwać aktualizacji alertu o wszelkie dodatkowe informacje umożliwiające podjęcie działań zaradczych i naprawczych.

Cisco ma problem z path-traversal flaw

Na tym nie koniec aktualnych kłopotów administratorów sieci. Atakujący wykorzystują także drugą lukę w zabezpieczeniach, dotyczącą dwóch produktów sieciowych sprzedawanych przez Cisco. Usterka oznaczona jako CVE-2020-3452 dotyczący path-traversal flaw usytuowaną w firmowych systemach Adaptive Security Appliance i Firepower Threat Defense. Umożliwia nieuwierzytelnionym osobom zdalne przeglądanie poufnych plików, co może prowadzić między innymi do ujawnienia konfiguracji WebVPN, zakładek, plików cookie, częściowo treści odwiedzanych stron internetowych oraz adresów URL. Cisco wydało poprawkę w środę. Dzień później podało także do publicznej informacji, że:

Firma Cisco dowiedziała się o dostępności publicznego kodu exploita i aktywnym wykorzystywaniu luki w zabezpieczeniach. Cisco zachęca klientów, których dotyczy problem, do jak najszybszej aktualizacji do wersji poprawionej.

Kod proof-of-concept zaczął krążyć w sieci niemal natychmiast po wydaniu poprawki przez Cisco, rozpoczynając wyścig między atakującymi i administratora firmowych LANów.

Skutki jakie powoduje wykorzystywanie luk są poważne, zwłaszcza dla klientów firmy F5. Administratorzy powinni niezwłocznie przeglądnąć i zaktualizować swoje systemy.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej