Finnish security specialist F-Secure avverte di una vulnerabilità che potrebbe rendere numerose aziende bersaglio di attacchi informatici. Sono interessati i prodotti Big IP di F5 Networks. Il fornitore nega.
Il fornitore di sicurezza F-Secure vede una seria minaccia nell'uso del bilanciatore di carico Big IP di F5 Networks e consiglia alle aziende che utilizzano il prodotto di risolvere i problemi di sicurezza in alcune configurazioni standard il più presto possibile. Gli aggressori potrebbero utilizzare i bilanciatori di carico configurati in modo insicuro per penetrare nelle reti ed effettuare attacchi contro aziende o individui che utilizzano servizi web gestiti da un dispositivo compromesso.
La vulnerabilità si verifica nel linguaggio di programmazione utilizzato, Tcl, in cui sono scritte le cosiddette iRules di Big-IP. Big-IP coordina tutto il traffico in entrata attraverso queste iRules. Alcuni codici maligni permettono agli aggressori di iniettare comandi Tcl arbitrari nelle iRules, che vengono poi eseguiti in questo ambiente presumibilmente sicuro.
Sono possibili attacchi mirati
L'importanza di questa vulnerabilità per le aziende colpite è enorme, poiché gli aggressori possono sfruttare queste iRules configurate in modo insicuro per utilizzare dispositivi BIG-IP compromessi come punto di partenza per ulteriori attacchi. Inoltre, è possibile per gli aggressori intercettare e manipolare il traffico web. Divulgando informazioni sensibili, compresi i dettagli di login e i segreti delle applicazioni personali, gli utenti dei servizi web colpiti possono quindi diventare vittime mirate di attacchi.
In alcuni casi, sfruttare un sistema vulnerabile è così semplice che il comando o il codice maligno deve solo essere iniettato tramite una semplice richiesta web, che il servizio esegue poi per l'attaccante, secondo gli specialisti di F-Secure. A peggiorare le cose, in alcune situazioni il dispositivo compromesso non registra le azioni dell'hacker, quindi non ci sono prove di un attacco in seguito. In altri casi, gli aggressori possono semplicemente cancellare i file di log - e quindi le prove delle loro attività. Questo rende l'indagine e il chiarimento di tali incidenti molto più difficile. Uno scenario ipotizzabile: gli hacker potrebbero spiare i clienti delle banche colpite e svuotare i loro conti bancari. "Anche se il cliente segnalasse un tale danno, l'attacco sarebbe rintracciabile per la banca solo con indagini forensi sul bilanciatore di carico, poiché i cyberattacchi Big IP sono molto nascosti", dice Christoffer Jerkeby, Senior Security Consultant di F-Secure.
Problema di sicurezza potenzialmente importante
Jerkeby continua: "Questo problema di configurazione è estremamente serio, poiché è abbastanza nascosto da essere usato senza essere notato dagli hacker. Possono quindi perseguire una varietà di obiettivi diversi e successivamente coprire tutte le tracce. Inoltre, molte organizzazioni non sono preparate a identificare e correggere i rischi di sicurezza che si presentano, che sono nascosti in profondità nelle catene di fornitura del software. Guardando tutti questi punti in aggregato, abbiamo a che fare con un problema di sicurezza potenzialmente enorme. A meno che le aziende non sappiano cosa cercare, è tremendamente difficile per loro essere preparati per questo problema, e più complicato diventa di conseguenza affrontare una situazione di attacco concreto."
La ricerca di Jerkeby ha identificato oltre 300.000 implementazioni Big IP attive su Internet, ma sospetta un numero molto più alto a causa dei limiti metodologici della sua ricerca. Circa il 60% delle istanze di Big IP che ha scoperto hanno avuto origine negli Stati Uniti.
E anche se non tutte le aziende che utilizzano i sistemi Big IP sono automaticamente colpite, l'uso diffuso del bilanciatore di carico significa che le organizzazioni in questione dovrebbero esaminare e valutare la propria situazione di rischio. Specialmente con la sua popolarità con banche, governi e altre organizzazioni che forniscono servizi web a un gran numero di persone, la vulnerabilità è anche elementare per gli utenti di quei servizi.
"A meno che una società abbia fatto un controllo tecnico completo dei loro sistemi, c'è una buona probabilità che siano affetti dalla vulnerabilità", ha detto Jerkeby. "Anche qualcuno che è incredibilmente attento alla sicurezza e lavora in un'azienda che è ben attrezzata in termini di tecnologia di sicurezza potrebbe non accorgersi di questa vulnerabilità. Per questo motivo, l'educazione su questo tema è davvero importante se vogliamo aiutare le aziende a proteggersi meglio da un potenziale scenario di minaccia."
Cosa fare?
Le scansioni di massa permettono agli hacker di setacciare internet alla ricerca di punti vulnerabili sui sistemi Big IP. Poiché tali scansioni di massa possono anche essere automatizzate abbastanza facilmente, è probabile che la vulnerabilità attiri molto presto l'interesse dei cosiddetti cacciatori di bug bounty e degli attaccanti. Inoltre, i potenziali hacker possono ottenere versioni di prova gratuite della tecnologia Big IP direttamente dal produttore e accedere alle istanze cloud a basso costo, sostiene F-Secure. Per queste ragioni, lo specialista della sicurezza consiglia alle aziende di indagare attivamente se sono colpite o meno.
Jerkeby ha contribuito a sviluppare alcuni strumenti open-source gratuiti che le aziende possono utilizzare per identificare configurazioni inadeguate nelle loro implementazioni BIG-IP. Le aziende colpite possono contattare F-Secure per ottenere l'accesso a questi strumenti. Un portavoce dell'azienda: "Non vogliamo rendere lo strumento pubblicamente disponibile perché gli aggressori possono anche utilizzare questo strumento per scoprire configurazioni errate e usarle a loro vantaggio."
"La buona notizia è che non tutti gli utenti del prodotto sono automaticamente colpiti. Il male, d'altra parte, è che il problema non può essere risolto tramite una semplice patch o un aggiornamento del software da parte del produttore. Spetta alle stesse aziende colpite prendere le precauzioni appropriate. Devono controllare se sono effettivamente interessati da questo problema di sicurezza. E loro stessi hanno la responsabilità di risolverlo, se necessario", spiega Jerkeby. "Ecco perché è così importante che tutti coloro che utilizzano Big-IP agiscano attivamente ora!"
Dichiarazione di F5 Networks:
Il fornitore interessato, F5 Networks, ha già risposto alla divulgazione della potenziale vulnerabilità rilasciando una dichiarazione:
"Questa non è una vulnerabilità in Tcl (un linguaggio di programmazione dinamico) o nei prodotti F5. Questo è un problema legato ai processi di codifica utilizzati per creare gli script. Come con la maggior parte dei linguaggi di programmazione o di scripting, è possibile scrivere codice in un modo che crea vulnerabilità. Abbiamo lavorato con il ricercatore sulla documentazione e la notifica in modo che i clienti possano valutare la loro vulnerabilità e prendere le misure necessarie per minimizzare il rischio. La migliore pratica per lo scripting Tcl è di evitare tutte le espressioni in modo che non possano essere sostituite o valutate inaspettatamente. I clienti dovrebbero rivedere gli script Tcl e fare tutte le modifiche che ritengono appropriate alla luce di questo consiglio. Per ulteriori informazioni, vedere questa nota di sicurezza: https://support.f5.com/csp/article/K15650046