News

Atacantes explotan una vulnerabilidad crítica de Big-IP aprovechando la tardanza en la instalación del parche

Se ha descubierto que una vulnerabilidad de Big-IP está siendo explotada por ciberatacantes. La vulnerabilidad deja a sus clientes, que en su mayoría son compañías y agencias gubernamentales, en riesgo de sufrir intrusiones a sus redes.

La vulnerabilidad fue parchada hace poco, pero los atacantes están aprovechando que muchos de los sistemas todavía no han instalado las actualizaciones. La vulnerabilidad, registrada como CVE-2021-22986, es una falla de ejecución remota de comandos en la infraestructura remota de redes corporativas BIG-IP y BIG-IQ.

Los usuarios de Big-IP, un producto de la empresa F5 Networks, utilizan este servicio para administrar el tráfico entrante y saliente de grandes redes, lo que incluye tareas como mitigar ataques DDoS y mantener la seguridad de las aplicaciones web.

La falla permite que los atacantes tomen control completo de un sistema vulnerable, lo que permitiría que atacantes no autenticados puedan ejecutar comandos del sistema, crear o eliminar archivos y deshabilitar servicios. Al irrumpir en los sistemas, los intrusos también podrían expandirse dentro de las redes e interceptar el tráfico de las aplicaciones de administración.

La vulnerabilidad fue parchada hace dos semanas, cuando el mundo de la seguridad informática tenía la atención volcada en la vulnerabilidad de Microsoft Exchange, que puso en riesgo la seguridad informática de decenas de miles de organizaciones. La vulnerabilidad de BIG-IP tenía un índice de gravedad de 9,8/10, por lo que los expertos en seguridad advirtieron que era sólo cuestión de tiempo para que los atacantes comenzaran a explotarla… y así fue.

A finales de la semana pasada, la empresa de seguridad NCC Group detectó la amenaza y alertó sobre los ataques, que fueron detectados en su mayor actividad después de que la falla hubiese sido parchada. “Después de encontrar varios exploits inservibles e intentos fallidos, hemos comenzado a ver que esta vulnerabilidad se está explotando con éxito en la red”, dijo en su momento Rich Warren, de NCC Group, y acompañó sus afirmaciones con una captura de pantalla que mostraba parte del código exploit.

“Los atacantes están atacando varios señuelos en regiones diferentes, lo que indica que no tienen un blanco en específico”, explicó Warren. “Es más probable que estén esparciendo ataques en Internet con la esperanza de que puedan explotar la vulnerabilidad antes de que las organizaciones puedan parcharlas”.

F5, por su parte, emitió un comunicado recordando que el parche para esta vulnerabilidad ya existe y es importante instalarlo lo antes posible. “Estamos conscientes de que hay ataques dirigidos a vulnerabilidades de F5 que fueron publicadas hace poco. Como siempre hacemos con las vulnerabilidades críticas, recomendamos a nuestros clientes que actualicen sus sistemas lo antes posible”.

Fuentes

Firms Urged to Patch as Attackers Exploit Critical F5 Bugs Infosecurity Magazine
Critical F5 BIG-IP vulnerability now targeted in ongoing attacks Bleeping Computer
Hackers are exploiting a server vulnerability with a severity of 9.8 out of 10 Ars Technica

Atacantes explotan una vulnerabilidad crítica de Big-IP aprovechando la tardanza en la instalación del parche

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada