Una grave falla di sicurezza nel BIG-IP di F5 potrebbe portare a violazioni di massa

Milano, 10 settembre 2019 – F-Secure sta allertando le organizzazioni che usano il load balancer BIG-IP di F5 Networks, molto diffuso tra le organizzazioni governative, le banche e le grandi corporation, affinché risolvano le problematiche di sicurezza di alcune configurazioni comuni del prodotto. Attaccanti potrebbero sfruttare questi load balancer configurati in modo non sicuro per penetrare nelle reti e lanciare un’ampia varietà di attacchi contro le organizzazioni o gli utenti che usano servizi web gestiti da un dispositivo compromesso.

La falla di sicurezza è presente nel linguaggio di programmazione Tcl con cui la funzione iRules di BIG-IP (la funzione che BIG-IP usa per indirizzare il traffico web in entrata) è scritta. Certe pratiche di coding permettono agli attaccanti di inserire comandi Tcl in modo arbitrario, che potrebbero essere eseguiti in contesti di sicurezza dello script Tcl target.

Gli attaccanti che con successo sfruttano iRules configurati in modo non sicuro possono usare dispositivi BIG-IP come teste di ponte per lanciare ulteriori attacchi, col risultato di una violazione potenzialmente grave per un’organizzazione. Potrebbero anche intercettare e manipolare il traffico web, causando l’esposizione di informazioni sensibili, incluse credenziali di autenticazione e segreti applicativi, così come permettere agli utenti di servizi web di un’organizzazione di essere presi di mira e attaccati.

In alcuni casi, sfruttare un sistema vulnerabile può essere così semplice come sottoporre un comando o un pezzo di codice come parte di una richiesta web, che la tecnologia eseguirà per l’attaccante. A peggiorare le cose, ci sono casi dove il dispositivo compromesso non registrerà le azioni degli attaccanti, il che significa che non ci sarà evidenza del fatto che è avvenuto un attacco. In altri casi, un attaccante potrebbe eliminare i log che contengono l’evidenza della sua attività post-exploit – compromettendo severamente qualsiasi investigazione a posteriori sull’incidente.

“Questa problematica di configurazione è davvero grave perché un attaccante può inserirsi furtivamente, raggiungere una gran varietà di obiettivi, e poi coprire le sue tracce. Inoltre, molte organizzazioni non sono preparate per trovare e risolvere problematiche che sono sepolte in profondità nella supply chain software, il che porta a un più grande problema per la sicurezza,” spiega Christoffer Jerkeby, F-Secure Senior Security Consultant. “Finché non sai cosa cercare, è difficile prevedere che si sta verificando questo problema, e ancora più difficile affrontarlo in un attacco reale.”

Jerkeby ha scoperto oltre 300.000 implementazioni BIG-IP attive su internet durante questa ricerca, ma a causa di limiti sulla metodologia, sospetta che il numero reale potrebbe essere molto più alto. Circa il 60 percento delle istanze di BIG-IP che ha trovato erano negli Stati Uniti.

La falla della codifica e la classe di vulnerabilità non sono nuovi e sono noti, insieme ad altre vulnerabilità nell'iniezione di comandi in altre lingue popolari da qualche tempo. E mentre non tutti saranno interessati a BIG-IP, la popolarità del load balancer tra banche, governi e altre entità che forniscono servizi online a un gran numero di persone, unita alla relativa oscurità dei problemi di sicurezza sottostanti al Tcl, porta a dire che qualsiasi l'organizzazione che utilizza BIG-IP dovrebbe indagare e valutare la propria esposizione.

"A meno che un'organizzazione non abbia svolto un'indagine approfondita su questa tecnologia, esiste una forte probabilità che abbia questo problema", afferma Jerkeby. “Anche qualcuno incredibilmente ben informato sulla sicurezza che lavora in un'azienda con risorse adeguate può commettere questo errore. Pertanto, diffondere la consapevolezza del problema è molto importante se vogliamo aiutare le organizzazioni a proteggersi meglio da un potenziale scenario di violazione ".

Raccomandazioni per le organizzazioni

Poiché è possibile eseguire la scansione di massa di Internet per identificare e sfruttare le istanze vulnerabili della tecnologia e, in alcuni casi, automatizzare questo processo, è probabile che il problema attiri l'attenzione dei cacciatori di bug bounty e degli attaccanti. Inoltre, è possibile ottenere versioni di prova gratuite della tecnologia dal fornitore e accedere alle istanze cloud dallo store AWS a un costo minimo. Per questi motivi, oltre all'impatto potenzialmente grave degli attacchi che utilizzano questa falla, F-Secure consiglia alle organizzazioni di indagare in modo proattivo se sono state o meno colpite.

Jerkeby ha contribuito a sviluppare alcuni strumenti gratuiti e open source che le organizzazioni possono utilizzare per identificare configurazioni non sicure nelle loro implementazioni BIG-IP. Ma secondo Jerkeby, non esiste una soluzione rapida per problemi di sicurezza come questi, quindi spetta alle organizzazioni affrontare il problema.

"L'aspetto positivo di questo tipo di problema di sicurezza è che non tutti quelli che usano il prodotto saranno interessati. Ma il rovescio della medaglia è che il problema non può essere risolto con una patch o un aggiornamento del software del fornitore, quindi spetta alle organizzazioni fare il lavoro per verificare se hanno questo problema e, se lo trovano, risolverlo, " spiega Jerkeby. "Ecco perché è importante che chiunque usi BIG-IP sia proattivo al riguardo."

Maggiori informazioni sulla ricerca di Jerkeby sono disponibili sul blog di F-Secure:

https://blog.f-secure.com/command-injection-in-f5-irules/