Código de explotación para CVE-2022-1388 disponible: Vulnerabilidad crítica de ejecución remota de código en herramientas de administración de red F5

Hace unos días los equipos de seguridad de F5 Networks reportaron la corrección de más de 50 vulnerabilidades en diversas versiones de BIG-IP, entre las cuales destaca CVE-2022-1388 una falla crítica que podría ser explotada para desplegar ataques de ejecución remota de código (RCE). Esta mañana la compañía actualizó su alerta, recomendando a las organizaciones que usan sus controladores de entrega de aplicaciones actualizar, ya que la falla crítica está siendo explotada en escenarios reales.

Según el reporte, la explotación exitosa permitiría a los actores de amenazas no autenticados con acceso de red al sistema BIG-IP ejecutar comandos arbitrarios, lo que la convierte en un riesgo de seguridad crítico para las organizaciones que usan estas implementaciones.

La compañía anunció el lanzamiento de los parches de seguridad correspondientes el 4 de mayo, apenas unos días antes de que dos firmas de seguridad comenzaran a desarrollar un par de exploits de prueba de concepto (PoC). Aunque estas empresas no revelaron su código, este fin de semana las PoC fueron filtradas.

Aunque la divulgación pública de estos exploits sin duda incrementa el riesgo de explotación, el especialista Kevin Beaumont asegura haber detectado intentos de explotación activa incluso antes de la filtración de las PoC: “Si configuró su implementación F5 como un equilibrador de carga y un firewall a través de una IP propia, también es vulnerable al ataque”, menciona.

Por otra parte, la mañana del lunes el investigador Germán Fernández informó la detección de una campaña de explotación masiva de la vulnerabilidad, con los hackers tratando de instalar un webshell que les da acceso al sistema objetivo del mismo modo que lo haría la instalación de un backdoor.

La vulnerabilidad reportada reside en todas las versiones de F5 BIG-IP entre v11 y v17. Al momento del reporte, la compañía confirmó que BIG-IP 11 y 12 no recibirían actualizaciones, pues llegaron al final de su vida útil; las versiones 13.1.5, 14.1.4.6, 15.1.5.1, 16.1. 2.2 y 17.0.0 sí recibieron parches de seguridad.

Los intentos de explotación de vulnerabilidades en BIG-IP días después de su corrección no son inusuales. Entre 2020 y 2021, se reportaron múltiples casos de explotación de vulnerabilidades apenas un par de días después de que los productos afectados son actualizados, lo que demuestra que estos equipos pueden ser altamente sensibles al hacking aún después de que las actualizaciones estén disponibles.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).