Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
▼
julio
(Total:
24
)
- Gmail quiere acabar con el Phishing: cuentas verif...
- Demandan a T-Mobile por permitir el robo de 8.7 mi...
- Vulnerabilidad crítica en GRUB2 llamada BootHole
- El FBI alerta de nuevos vectores de ataques DDoS
- Exigen 10 millones de dólares a Garmin por el secu...
- Actualizada distro REMnux Linux 7 para el análisis...
- Fileless malware: ataques malware sin archivos
- La Guardia Civil quiere usar el reconocimiento fac...
- Ataque de ransomware a la empresa ADIF: 800GB dato...
- Orange y Telecom víctimas de un ataque de Ransomware
- Crecen los ataques a routers domésticos para forma...
- Microsoft presenta Process Monitor para Linux de c...
- Empleado de Twitter ayudó a secuestrar las cuentas...
- Grave fallo en SAP NetWeaver permite secuestrar y ...
- Vulnerabilidad crítica en el servidor DNS de Windo...
- El móvil del presidente del Parlament de Catalunya...
- El FBI detiene al "príncipe nigeriano" por estafar...
- Vulnerabilidad crítica de ejecución remota de códi...
- Intel anuncia oficialmente Thunderbolt 4
- Hashcat 6.0.0 llega con 51 nuevos algoritmos y mej...
- Cae red de comunicaciones privada EncroChat utiliz...
- Alertan múltiples problemas de privacidad en TikTok
- Ransomware Maze anuncia que LG habría perdido códi...
- Universidad de California paga 1,14 millones a los...
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Vulnerabilidad crítica de ejecución remota de código en dispositivos BIG-IP de F5
jueves, 9 de julio de 2020
|
Publicado por
el-brujo
|
Editar entrada
La
vulnerabilidad afecta el producto BIG-IP de la compañía F5. Estos son
dispositivos de red multipropósito que pueden funcionar como sistemas de
configuración de tráfico web, balanceadores de carga, firewalls, puertas
de acceso, limitadores de velocidad o middleware SSL. La vulnerabilidad es tan peligrosa que
recibió la rara puntuación de 10 sobre 10 en la escala de gravedad de
vulnerabilidad CVSS v3. Este puntaje significa que el error de seguridad
es fácil de explotar, automatizar, puede usarse en Internet y no
requiere credenciales válidas o habilidades avanzadas de codificación
para aprovecharlo. Y también la compañía Citrix emitió parches de seguridad para hasta 11 fallos de seguridad que afectan a sus productos de red Citrix Application Delivery Controller (ADC), Gateway y SD-WAN WAN Optimization edition (WANOP).
Como coincidencia, esta fue la segunda falla 10/10 CVSS en un dispositivo de red divulgada esta semana, luego de que se revelara una falla crítica similar que afectaba a los dispositivos VPN y firewall de Palo Alto Networks el lunes.
Identificado como CVE-2020-5902, Mikhail Klyuchnikov, investigador de seguridad de Positive Technologies, encontró el error BIG-IP y lo notificó en privado a F5. El error es una vulnerabilidad de Ejecución Remota de Código (RCE) en la interfaz de administración de BIG-IP, conocida como TMUI (Traffic Management User Interface). Los atacantes pueden explotar este error a través de Internet para obtener acceso al componente TMUI, que se ejecuta sobre un servidor Tomcat en el sistema operativo basado en Linux de BIG-IP.
BIG-IP es un dispositivo de red multipropósito muy popular que es utilizado por una gran cantidad de compañías que manejan información sensible a lo largo del mundo. Los dispositivos BIG-IP son utilizados tanto en redes gubernamentales y de proveedores de servicios de Internet (ISPs), así como por bancos a lo largo del mundo y muchas redes empresariales. Según explica F5 en su sitio web, este producto es utilizado por 48 compañías que integran la lista Fortune 50. De hecho, dada la criticidad de la vulnerabilidad y su potencial impacto, el Cibercomando de Estados Unidos replicó la advertencia emitida por la compañía y llamó a instalar el parche que repara el fallo lo antes posible.
Actualmente, según una búsqueda de Shodan, hay alrededor de 8.400 dispositivos BIG-IP conectados en línea, ya hay scripts de nmap, exploits funcionales y ataques registrados in-the-wild.
La vulnerabilidad CVE-2020-5902 ha sido calificada como crítica ya que permitía a los atacantes tomar el control completo de los sistemas. Esta vulnerabilidad podría permitir a un atacante, independientemente de si está o no autenticado, ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, deshabilitar servicios y/o ejecutar código Java de forma arbitraria.
Según Mikhail Klyuchnikov, quien descubrió esta vulnerabilidad, el problema reside en una utilidad de configuración llamada Traffic Management User Interface (TMUI) para el controlador de entrega de aplicaciones (ADC) BIG-IP. Un atacante no autenticado puede explotar de forma remota esta vulnerabilidad enviando una solicitud HTTP malintencionada al servidor vulnerable.
Pero no todo acaba ahí, además de esto, Klyuchnikov también informó de una vulnerabilidad XSS, CVE-2020-5903, con un puntaje CVSS de 7.5, en la interfaz de configuración BIG-IP que podría permitir a los atacantes remotos ejecutar código JavaScript malicioso como usuario administrador registrado.
Listado de Versiones Afectadas y más información (mitigación)
Mitigación
Expresión regular para bloquear el ataque mediante una URL
Ejemplos que bloquearía:
Según la compañía, estas vulnerabilidades no están relacionadas con la vulnerabilidad de RCE CVE-2019-19781 que parcheó en enero de 2020 y no afectan a las versiones en la nube de los dispositivos Citrix.
La explotación exitosa de estos nuevos defectos críticos podría permitir a atacantes no autenticados llevar a cabo con éxito ataques de inyección de código, divulgación de información e incluso denegación de servicio contra la puerta de enlace o los servidores virtuales de autenticación.
En el sitio web de Citrix se encuentra disponible un aviso de seguridad con información detallada sobre estas vulnerabilidades y enlaces a todas las actualizaciones de firmware.
Fuentes:
https://www.welivesecurity.com/la-es/2020/07/06/estan-explotando-vulnerabilidad-critica-dispositivos-big-ip-f5/
https://blog.segu-info.com.ar/2020/07/vulnerabilidad-en-f5-con-puntaje-cvss.html
https://unaaldia.hispasec.com/2020/07/vulnerabilidad-critica-en-tmui-de-f5.html
Como coincidencia, esta fue la segunda falla 10/10 CVSS en un dispositivo de red divulgada esta semana, luego de que se revelara una falla crítica similar que afectaba a los dispositivos VPN y firewall de Palo Alto Networks el lunes.
Identificado como CVE-2020-5902, Mikhail Klyuchnikov, investigador de seguridad de Positive Technologies, encontró el error BIG-IP y lo notificó en privado a F5. El error es una vulnerabilidad de Ejecución Remota de Código (RCE) en la interfaz de administración de BIG-IP, conocida como TMUI (Traffic Management User Interface). Los atacantes pueden explotar este error a través de Internet para obtener acceso al componente TMUI, que se ejecuta sobre un servidor Tomcat en el sistema operativo basado en Linux de BIG-IP.
BIG-IP es un dispositivo de red multipropósito muy popular que es utilizado por una gran cantidad de compañías que manejan información sensible a lo largo del mundo. Los dispositivos BIG-IP son utilizados tanto en redes gubernamentales y de proveedores de servicios de Internet (ISPs), así como por bancos a lo largo del mundo y muchas redes empresariales. Según explica F5 en su sitio web, este producto es utilizado por 48 compañías que integran la lista Fortune 50. De hecho, dada la criticidad de la vulnerabilidad y su potencial impacto, el Cibercomando de Estados Unidos replicó la advertencia emitida por la compañía y llamó a instalar el parche que repara el fallo lo antes posible.
F5 BIG-IP ADC RCE Flaw (CVE-2020-5902)
Actualmente, según una búsqueda de Shodan, hay alrededor de 8.400 dispositivos BIG-IP conectados en línea, ya hay scripts de nmap, exploits funcionales y ataques registrados in-the-wild.
La vulnerabilidad CVE-2020-5902 ha sido calificada como crítica ya que permitía a los atacantes tomar el control completo de los sistemas. Esta vulnerabilidad podría permitir a un atacante, independientemente de si está o no autenticado, ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, deshabilitar servicios y/o ejecutar código Java de forma arbitraria.
Según Mikhail Klyuchnikov, quien descubrió esta vulnerabilidad, el problema reside en una utilidad de configuración llamada Traffic Management User Interface (TMUI) para el controlador de entrega de aplicaciones (ADC) BIG-IP. Un atacante no autenticado puede explotar de forma remota esta vulnerabilidad enviando una solicitud HTTP malintencionada al servidor vulnerable.
Pero no todo acaba ahí, además de esto, Klyuchnikov también informó de una vulnerabilidad XSS, CVE-2020-5903, con un puntaje CVSS de 7.5, en la interfaz de configuración BIG-IP que podría permitir a los atacantes remotos ejecutar código JavaScript malicioso como usuario administrador registrado.
Listado de Versiones Afectadas y más información (mitigación)
Expresión regular para bloquear el ataque mediante una URL
.*\.\.;.*
Ejemplos que bloquearía:
/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp
/tmui/login.jsp/..;/tmui/util/getTabSet.jsp
/tmui/login.jsp/..;/tmui/system/user/authproperties.jsp
/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp
Citrix emite parches para 11 vulnerabilidades críticas
- Citrix Application Delivery Controller (ADC), Gateway,
- SD-WAN WAN Optimization edition (WANOP).
Según la compañía, estas vulnerabilidades no están relacionadas con la vulnerabilidad de RCE CVE-2019-19781 que parcheó en enero de 2020 y no afectan a las versiones en la nube de los dispositivos Citrix.
La explotación exitosa de estos nuevos defectos críticos podría permitir a atacantes no autenticados llevar a cabo con éxito ataques de inyección de código, divulgación de información e incluso denegación de servicio contra la puerta de enlace o los servidores virtuales de autenticación.
«De las 11 vulnerabilidades encontradas, cinco de ellas tienen barreras que impiden la explotación. Además, los usuarios que no tienen tráfico no confiable en la red de administración únicamente pueden estar expuestos a un ataque de denegación de servicio».Entre los dispositivos Citrix SD-WAN WANOP afectados por las fallos, se incluyen los modelos 4000-WO, 4100-WO, 5000-WO y 5100-WO.
Fermín Serna, CISO de Citrix
En el sitio web de Citrix se encuentra disponible un aviso de seguridad con información detallada sobre estas vulnerabilidades y enlaces a todas las actualizaciones de firmware.
- https://support.citrix.com/article/CTX276688
- https://www.citrix.com/blogs/2020/07/07/citrix-provides-context-on-security-bulletin-ctx276688/
Fuentes:
https://www.welivesecurity.com/la-es/2020/07/06/estan-explotando-vulnerabilidad-critica-dispositivos-big-ip-f5/
https://blog.segu-info.com.ar/2020/07/vulnerabilidad-en-f5-con-puntaje-cvss.html
https://unaaldia.hispasec.com/2020/07/vulnerabilidad-critica-en-tmui-de-f5.html
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.