Seleccionar página

Rompiendo el molde: Deteniendo el Código de un Hacker ep. 2 – F5 BIG-IP

Meta descripción: Hillstone IPS puede proporcionar una defensa adecuada contra F5 BIG-IP, y la protección puede ser configurada automáticamente dentro del dispositivo.

Introducción
F5 BIG-IP es una plataforma de entrega de aplicaciones de F5, que proporciona gestión del tráfico de red, gestión de la seguridad de las aplicaciones, balanceo de carga y otras funciones. Como conjunto de plataformas de hardware y soluciones de software, se descubrió que F5 BIG-IP posee una vulnerabilidad de error de control de acceso, CVE-2022-1388, que podría ser aprovechada por los atacantes.

Vulnerabilidad
Cuando se utiliza la vulnerabilidad CVE-2022-1388, un atacante puede tomar el control del sistema de forma anónima saltándose el marco de autenticación iControl Representational State Transfer (REST). En concreto, en las versiones de BIG-IP comprendidas entre la 12.x y la 16.x, los atacantes pueden explotar la CVE-2022-1388 a través del puerto de gestión y/o las direcciones IP propias para obtener un acceso de red no autorizado al sistema BIG-IP. A partir de ahí, los ataques pueden ejecutar comandos arbitrarios del sistema, crear o eliminar archivos o desactivar servicios. No hay exposición en el plano de datos; este es un problema del plano de control solamente. La escalada de privilegios horizontal y vertical es una táctica común para explotar las vulnerabilidades. Una vez que consiguen un punto de apoyo, los atacantes aprovechan estas tácticas para elevar sus privilegios de acceso de forma ilegal. Por lo tanto, es fundamental que nos mantengamos alerta, tanto en términos de asegurar estas vulnerabilidades rápidamente, como de asegurar que tenemos estrategias flexibles de mitigación después de la violación.

Solución
La estrategia de reparación ha llegado y los usuarios pueden eliminar esta vulnerabilidad actualizando a la nueva versión correspondiente. Aunque la instalación de una versión actualizada es una solución garantizada, los usuarios pueden utilizar las siguientes recomendaciones como mitigaciones temporales. Estas mitigaciones restringen el acceso a iControl REST sólo a la red o dispositivos de confianza, restringiendo así la superficie de ataque.

  • Bloquear el acceso a iControl REST a través de una dirección IP autodefinida
  • Bloquear el acceso a iControl REST a través de la interfaz de gestión
  • Modificar la configuración de BIG-IP httpd

Implementación de la Corrección
Hillstone IPS puede proporcionar una defensa adecuada contra esta vulnerabilidad, y la protección puede ser configurada automáticamente dentro del dispositivo mediante la actualización de la versión de la base de datos de firmas a 3.0.107, 2.1.456, con ningún o muy pocos falsos positivos. La regla correspondiente para remediar esta vulnerabilidad es la regla 336580.

Figura 1. CVE-2022-1388 configura la defensa por Hillstone IPS

La inteligencia de esta vulnerabilidad está disponible también en Hillstone iSource.

Figura 2. Inteligencia de puntos críticos en Hillstone iSource