11/09/2019 |

Una grave falla di sicurezza nel BIG-IP di F5 potrebbe portare a violazioni di massa

Christoffer Jerkeby, F-Secure Security Consultant, ha scoperto una falla di sicurezza potenzialmente in grado di convertire centinaia di migliaia di load balancer in teste di ponte per attacchi informatici

Milano, 10 settembre 2019 – F-Secure sta allertando le organizzazioni che usano il load balancer BIG-IP di F5 Networks, molto diffuso tra le organizzazioni governative, le banche e le grandi corporation, affinché risolvano le problematiche di sicurezza di alcune configurazioni comuni del prodotto. Attaccanti potrebbero sfruttare questi load balancer configurati in modo non sicuro per penetrare nelle reti e lanciare un’ampia varietà di attacchi contro le organizzazioni o gli utenti che usano servizi web gestiti da un dispositivo compromesso.

La falla di sicurezza è presente nel linguaggio di programmazione Tcl con cui la funzione iRules di BIG-IP (la funzione che BIG-IP usa per indirizzare il traffico web in entrata) è scritta. Certe pratiche di coding permettono agli attaccanti di inserire comandi Tcl in modo arbitrario, che potrebbero essere eseguiti in contesti di sicurezza dello script Tcl target.

Gli attaccanti che con successo sfruttano iRules configurati in modo non sicuro possono usare dispositivi BIG-IP come teste di ponte per lanciare ulteriori attacchi, col risultato di una violazione potenzialmente grave per un’organizzazione. Potrebbero anche intercettare e manipolare il traffico web, causando l’esposizione di informazioni sensibili, incluse credenziali di autenticazione e segreti applicativi, così come permettere agli utenti di servizi web di un’organizzazione di essere presi di mira e attaccati.

In alcuni casi, sfruttare un sistema vulnerabile può essere così semplice come sottoporre un comando o un pezzo di codice come parte di una richiesta web, che la tecnologia eseguirà per l’attaccante. A peggiorare le cose, ci sono casi dove il dispositivo compromesso non registrerà le azioni degli attaccanti, il che significa che non ci sarà evidenza del fatto che è avvenuto un attacco. In altri casi, un attaccante potrebbe eliminare i log che contengono l’evidenza della sua attività post-exploit – compromettendo severamente qualsiasi investigazione a posteriori sull’incidente.

“Questa problematica di configurazione è davvero grave perché un attaccante può inserirsi furtivamente, raggiungere una gran varietà di obiettivi, e poi coprire le sue tracce. Inoltre, molte organizzazioni non sono preparate per trovare e risolvere problematiche che sono sepolte in profondità nella supply chain software, il che porta a un più grande problema per la sicurezza,” spiega Christoffer Jerkeby, F-Secure Senior Security Consultant. “Finché non sai cosa cercare, è difficile prevedere che si sta verificando questo problema, e ancora più difficile affrontarlo in un attacco reale.”

Jerkeby ha scoperto oltre 300.000 implementazioni BIG-IP attive su internet durante questa ricerca, ma a causa di limiti sulla metodologia, sospetta che il numero reale potrebbe essere molto più alto. Circa il 60 percento delle istanze di BIG-IP che ha trovato erano negli Stati Uniti.

La falla della codifica e la classe di vulnerabilità non sono nuovi e sono noti, insieme ad altre vulnerabilità nell’iniezione di comandi in altre lingue popolari da qualche tempo. E mentre non tutti saranno interessati a BIG-IP, la popolarità del load balancer tra banche, governi e altre entità che forniscono servizi online a un gran numero di persone, unita alla relativa oscurità dei problemi di sicurezza sottostanti al Tcl, porta a dire che qualsiasi l’organizzazione che utilizza BIG-IP dovrebbe indagare e valutare la propria esposizione.

“A meno che un’organizzazione non abbia svolto un’indagine approfondita su questa tecnologia, esiste una forte probabilità che abbia questo problema”, afferma Jerkeby. “Anche qualcuno incredibilmente ben informato sulla sicurezza che lavora in un’azienda con risorse adeguate può commettere questo errore. Pertanto, diffondere la consapevolezza del problema è molto importante se vogliamo aiutare le organizzazioni a proteggersi meglio da un potenziale scenario di violazione “.

Raccomandazioni per le organizzazioni

Poiché è possibile eseguire la scansione di massa di Internet per identificare e sfruttare le istanze vulnerabili della tecnologia e, in alcuni casi, automatizzare questo processo, è probabile che il problema attiri l’attenzione dei cacciatori di bug bounty e degli attaccanti. Inoltre, è possibile ottenere versioni di prova gratuite della tecnologia dal fornitore e accedere alle istanze cloud dallo store AWS a un costo minimo. Per questi motivi, oltre all’impatto potenzialmente grave degli attacchi che utilizzano questa falla, F-Secure consiglia alle organizzazioni di indagare in modo proattivo se sono state o meno colpite.

Jerkeby ha contribuito a sviluppare alcuni strumenti gratuiti e open source che le organizzazioni possono utilizzare per identificare configurazioni non sicure nelle loro implementazioni BIG-IP. Ma secondo Jerkeby, non esiste una soluzione rapida per problemi di sicurezza come questi, quindi spetta alle organizzazioni affrontare il problema.

“L’aspetto positivo di questo tipo di problema di sicurezza è che non tutti quelli che usano il prodotto saranno interessati. Ma il rovescio della medaglia è che il problema non può essere risolto con una patch o un aggiornamento del software del fornitore, quindi spetta alle organizzazioni fare il lavoro per verificare se hanno questo problema e, se lo trovano, risolverlo, ” spiega Jerkeby. “Ecco perché è importante che chiunque usi BIG-IP sia proattivo al riguardo.”

Maggiori informazioni sulla ricerca di Jerkeby sono disponibili sul blog di F-Secure:

https://blog.f-secure.com/command-injection-in-f5-irules/

F-Secure

Nessuno conosce la cyber security come F-Secure. Per tre decenni, F-Secure ha guidato l’innovazione nella cyber security, difendendo decine di migliaia di aziende e milioni di persone. Con un’esperienza insuperabile nella protezione degli endpoint, così come nella rilevazione e risposta, F-Secure difende aziende e utenti da attacchi informatici avanzati, violazioni di dati e dalle diffuse infezioni ransomware. La sofisticata tecnologia di F-Secure combina la forza del machine learning con l’esperienza umana degli esperti presenti nei suoi rinomati laboratori di sicurezza con un approccio singolare chiamato Live Security. Gli esperti di sicurezza di F-Secure hanno preso parte a più investigazioni sul crimine informatico in Europa di qualsiasi altra azienda sul mercato, e i suoi prodotti sono venduti in tutto il mondo attraverso oltre 200 operatori di banda larga e telefonia mobile e migliaia di rivenditori.

Fondata nel 1988, F-Secure è quotata al NASDAQ OMX Helsinki Ltd.

f-secure.it |f-secure.com| twitter.com/fsecure | facebook.com/f-secure

Seguici anche sul blog italiano: https://blog.f-secure.com/it/

e sull’account Twitter italiano: @F-Secure_IT

Contatti per la stampa:

Samanta Fumagalli
Resp. Ufficio Stampa
samanta.fumagalli@gmail.com
info@samantafumagalli.com
Mobile 320.9011759

Gli ultimi comunicati stampa

17/10/2019

La valutazione MITRE ATT&CK conferma capacità leader di settore di F-Secure nel rilevare gli attacchi avanzati

I risultati definiscono le tecnologie EDR di F-Secure come una solida base per la creazione di capacità complete di rilevamento e risposta, andando oltre il framework di MITRE

24/09/2019

F-Secure espande la sua attività di consulenza sulla sicurezza informatica a livello globale

Il team multidisciplinare di F-Secure Consulting protegge le tecnologie e le organizzazioni dalle quali le società dipendono

19/09/2019

Il nuovo Global Partner Program di F-Secure unisce tecnologia, formazione e benefit

Il programma di canale aiuta i reseller IT a portare nuove capacità di cyber security focalizzate sulla rilevazione e risposta a un maggior numero di organizzazioni

12/09/2019

Gli attacchi che sfruttano i dispositivi IoT e Windows SMB sono in crescita nel 2019

L’honeynet globale di F-Secure ha misurato un numero di attacchi dodici volte superiore nel primo semestre del 2019 rispetto al primo semestre del 2018

%d bloggers like this: