Grazie per l'iscrizione, un referente del team PR globale ti ricontatterà quanto prima.
La falla di sicurezza è presente nel linguaggio di programmazione Tcl con cui la funzione iRules di BIG-IP (la funzione che BIG-IP usa per indirizzare il traffico web in entrata) è scritta. Certe pratiche di coding permettono agli attaccanti di inserire comandi Tcl in modo arbitrario, che potrebbero essere eseguiti in contesti di sicurezza dello script Tcl target.
Gli attaccanti che con successo sfruttano iRules configurati in modo non sicuro possono usare dispositivi BIG-IP come teste di ponte per lanciare ulteriori attacchi, col risultato di una violazione potenzialmente grave per un’organizzazione. Potrebbero anche intercettare e manipolare il traffico web, causando l’esposizione di informazioni sensibili, incluse credenziali di autenticazione e segreti applicativi, così come permettere agli utenti di servizi web di un’organizzazione di essere presi di mira e attaccati.
In alcuni casi, sfruttare un sistema vulnerabile può essere così semplice come sottoporre un comando o un pezzo di codice come parte di una richiesta web, che la tecnologia eseguirà per l’attaccante. A peggiorare le cose, ci sono casi dove il dispositivo compromesso non registrerà le azioni degli attaccanti, il che significa che non ci sarà evidenza del fatto che è avvenuto un attacco. In altri casi, un attaccante potrebbe eliminare i log che contengono l’evidenza della sua attività post-exploit – compromettendo severamente qualsiasi investigazione a posteriori sull’incidente.
“Questa problematica di configurazione è davvero grave perché un attaccante può inserirsi furtivamente, raggiungere una gran varietà di obiettivi, e poi coprire le sue tracce. Inoltre, molte organizzazioni non sono preparate per trovare e risolvere problematiche che sono sepolte in profondità nella supply chain software, il che porta a un più grande problema per la sicurezza,” spiega Christoffer Jerkeby, F-Secure Senior Security Consultant. “Finché non sai cosa cercare, è difficile prevedere che si sta verificando questo problema, e ancora più difficile affrontarlo in un attacco reale.”
Jerkeby ha scoperto oltre 300.000 implementazioni BIG-IP attive su internet durante questa ricerca, ma a causa di limiti sulla metodologia, sospetta che il numero reale potrebbe essere molto più alto. Circa il 60 percento delle istanze di BIG-IP che ha trovato erano negli Stati Uniti.
La falla della codifica e la classe di vulnerabilità non sono nuovi e sono noti, insieme ad altre vulnerabilità nell'iniezione di comandi in altre lingue popolari da qualche tempo. E mentre non tutti saranno interessati a BIG-IP, la popolarità del load balancer tra banche, governi e altre entità che forniscono servizi online a un gran numero di persone, unita alla relativa oscurità dei problemi di sicurezza sottostanti al Tcl, porta a dire che qualsiasi l'organizzazione che utilizza BIG-IP dovrebbe indagare e valutare la propria esposizione.
"A meno che un'organizzazione non abbia svolto un'indagine approfondita su questa tecnologia, esiste una forte probabilità che abbia questo problema", afferma Jerkeby. “Anche qualcuno incredibilmente ben informato sulla sicurezza che lavora in un'azienda con risorse adeguate può commettere questo errore. Pertanto, diffondere la consapevolezza del problema è molto importante se vogliamo aiutare le organizzazioni a proteggersi meglio da un potenziale scenario di violazione ".
Raccomandazioni per le organizzazioni
Poiché è possibile eseguire la scansione di massa di Internet per identificare e sfruttare le istanze vulnerabili della tecnologia e, in alcuni casi, automatizzare questo processo, è probabile che il problema attiri l'attenzione dei cacciatori di bug bounty e degli attaccanti. Inoltre, è possibile ottenere versioni di prova gratuite della tecnologia dal fornitore e accedere alle istanze cloud dallo store AWS a un costo minimo. Per questi motivi, oltre all'impatto potenzialmente grave degli attacchi che utilizzano questa falla, F-Secure consiglia alle organizzazioni di indagare in modo proattivo se sono state o meno colpite.
Jerkeby ha contribuito a sviluppare alcuni strumenti gratuiti e open source che le organizzazioni possono utilizzare per identificare configurazioni non sicure nelle loro implementazioni BIG-IP. Ma secondo Jerkeby, non esiste una soluzione rapida per problemi di sicurezza come questi, quindi spetta alle organizzazioni affrontare il problema.
"L'aspetto positivo di questo tipo di problema di sicurezza è che non tutti quelli che usano il prodotto saranno interessati. Ma il rovescio della medaglia è che il problema non può essere risolto con una patch o un aggiornamento del software del fornitore, quindi spetta alle organizzazioni fare il lavoro per verificare se hanno questo problema e, se lo trovano, risolverlo, " spiega Jerkeby. "Ecco perché è importante che chiunque usi BIG-IP sia proattivo al riguardo."
Maggiori informazioni sulla ricerca di Jerkeby sono disponibili sul blog di F-Secure:
https://blog.f-secure.com/command-injection-in-f5-irules/Nessuno conosce la cyber security come F-Secure. Per tre decenni, F-Secure ha guidato l’innovazione nella cyber security, difendendo decine di migliaia di aziende e milioni di persone. Con un’esperienza insuperabile nella protezione degli endpoint, così come nella rilevazione e risposta, F-Secure difende aziende e utenti da attacchi informatici avanzati, violazioni di dati e dalle diffuse infezioni ransomware. La sofisticata tecnologia di F-Secure combina la forza del machine learning con l’esperienza umana degli esperti presenti nei suoi rinomati laboratori di sicurezza con un approccio singolare chiamato Live Security. Gli esperti di sicurezza di F-Secure hanno preso parte a più investigazioni sul crimine informatico in Europa di qualsiasi altra azienda sul mercato, e i suoi prodotti sono venduti in tutto il mondo attraverso oltre 200 operatori di banda larga e telefonia mobile e migliaia di rivenditori.
Fondata nel 1988, F-Secure è quotata al NASDAQ OMX Helsinki Ltd.
Samanta Fumagalli
Resp. Ufficio Stampa
samanta.fumagalli@gmail.com
info@samantafumagalli.com
Mobile 320.9011759
Iscriviti per ricevere i comunicati stampa F-Secure
Naviga nelle nostre notizie per anno.
Naviga nelle nostre notizie per categoria.