Por que isso importa: Os hackers estão usando uma exploração de senha vazia para obter controle de root em redes inteiras. Milhares de aparelhos já foram atingidos. Se você for um administrador usando os dispositivos BIG-IP da F5, atualize-os o mais rápido possível.
Pesquisadores de segurança descobriram uma vulnerabilidade grave em equipamentos de rede sensíveis usados pela maioria das principais empresas da Fortune 50. A falha, CVE-2022-1388, tem uma classificação de gravidade de 9,8 em 10. Ela garante a alta classificação porque os hackers já estão explorando a fraqueza, o que lhes permite executar comandos de root sem sequer digitar uma senha, dando a eles controle total de a rede.
A vulnerabilidade reside na linha BIG-IP de equipamentos de rede da F5. As empresas usam esse equipamento para balanceamento de carga, firewalls e criptografia de dados. É particularmente preocupante, pois o BIG-IP é frequentemente usado nas bordas da rede para gerenciar o tráfego e pode ver os dados descriptografados de sites protegidos por HTTPS. A empresa de segurança Randori observa que os pesquisadores registraram mais de 16.000 instâncias da exploração usando o Shodan.
Aparentemente, os dispositivos têm um código de autenticação, YWRtaW46, que alguns pensaram ser uma senha codificada. No entanto, o analista de vulnerabilidade Will Dormann aponta que YWRtaW46 é apenas a palavra “admin:” no formato Base64 — uma autenticação padrão para muitos dispositivos com acesso à Internet.
Muitos profissionais de segurança ficaram surpresos com esse buraco.
Não estou totalmente convencido de que esse código não foi plantado por um desenvolvedor que realiza espionagem corporativa para uma empresa de resposta a incidentes como algum tipo de esquema de garantia de receita.
Se sim, brilhante. Se não, WTAF… https://t.co/4F237teFa2
— Jake Williams (@MalwareJake) 9 de maio de 2022
Felizmente, a F5 emitiu uma correção em 4 de maio para tapar o buraco, mas várias empresas provavelmente ainda estão lutando para atualizar todos os seus equipamentos. A empresa diz que a exploração envolveu uma implementação falha do iControl REST – um conjunto de configurações baseadas na web e interfaces de gerenciamento para dispositivos BIG-IP. É altamente recomendável que as empresas avaliem seus equipamentos para essa vulnerabilidade e forneceu um gráfico de dispositivos afetados.
Randori postou um script bash que os administradores podem executar para verificar vulnerabilidades. Ele também tem outras sugestões de mitigação para usar durante a atualização do hardware da rede.