La vulnerabilidad afecta el producto BIG-IP de la compañía F5. Estos son dispositivos de red multipropósito que pueden funcionar como sistemas de configuración de tráfico web, balanceadores de carga, firewalls, puertas de acceso, limitadores de velocidad o middleware SSL. La vulnerabilidad es tan peligrosa que recibió la rara puntuación de 10 sobre 10 en la escala de gravedad de vulnerabilidad CVSS v3. Este puntaje significa que el error de seguridad es fácil de explotar, automatizar, puede usarse en Internet y no requiere credenciales válidas o habilidades avanzadas de codificación para aprovecharlo. Y también la compañía Citrix emitió parches de seguridad para hasta 11 fallos de seguridad que afectan a sus productos de red Citrix Application Delivery Controller (ADC), Gateway y SD-WAN WAN Optimization edition (WANOP).





Como coincidencia, esta fue la segunda falla 10/10 CVSS en un dispositivo de red divulgada esta semana, luego de que se revelara una falla crítica similar que afectaba a los dispositivos VPN y firewall de Palo Alto Networks el lunes.

Identificado como CVE-2020-5902, Mikhail Klyuchnikov, investigador de seguridad de Positive Technologies, encontró el error BIG-IP y lo notificó en privado a F5. El error es una vulnerabilidad de Ejecución Remota de Código (RCE) en la interfaz de administración de BIG-IP, conocida como TMUI (Traffic Management User Interface). Los atacantes pueden explotar este error a través de Internet para obtener acceso al componente TMUI, que se ejecuta sobre un servidor Tomcat en el sistema operativo basado en Linux de BIG-IP.


BIG-IP es un dispositivo de red multipropósito muy popular que es utilizado por una gran cantidad de compañías que manejan información sensible a lo largo del mundo. Los dispositivos BIG-IP son utilizados tanto en redes gubernamentales y de proveedores de servicios de Internet (ISPs), así como por bancos a lo largo del mundo y muchas redes empresariales. Según explica F5 en su sitio web, este producto es utilizado por 48 compañías que integran la lista Fortune 50. De hecho, dada la criticidad de la vulnerabilidad y su potencial impacto, el Cibercomando de Estados Unidos replicó la advertencia emitida por la compañía y llamó a instalar el parche que repara el fallo lo antes posible.

F5 BIG-IP ADC RCE Flaw (CVE-2020-5902)

Actualmente, según una búsqueda de Shodan, hay alrededor de 8.400 dispositivos BIG-IP conectados en línea, ya hay scripts de nmap, exploits funcionales y ataques registrados in-the-wild.

La vulnerabilidad CVE-2020-5902 ha sido calificada como crítica ya que permitía a los atacantes tomar el control completo de los sistemas. Esta vulnerabilidad podría permitir a un atacante, independientemente de si está o no autenticado, ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, deshabilitar servicios y/o ejecutar código Java de forma arbitraria.

Según Mikhail Klyuchnikov, quien descubrió esta vulnerabilidad, el problema reside en una utilidad de configuración llamada Traffic Management User Interface (TMUI) para el controlador de entrega de aplicaciones (ADC) BIG-IP. Un atacante no autenticado puede explotar de forma remota esta vulnerabilidad enviando una solicitud HTTP malintencionada al servidor vulnerable.

Pero no todo acaba ahí, además de esto, Klyuchnikov también informó de una vulnerabilidad XSS, CVE-2020-5903, con un puntaje CVSS de 7.5, en la interfaz de configuración BIG-IP que podría permitir a los atacantes remotos ejecutar código JavaScript malicioso como usuario administrador registrado.

Listado de Versiones Afectadas y más información (mitigación)

• https://support.f5.com/csp/article/K52145254

Mitigación



Expresión regular para bloquear el ataque mediante una URL

.*\.\.;.*

Ejemplos que bloquearía:

/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp
/tmui/login.jsp/..;/tmui/util/getTabSet.jsp
/tmui/login.jsp/..;/tmui/system/user/authproperties.jsp
/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp

Citrix emite parches para 11 vulnerabilidades críticas

• Citrix Application Delivery Controller (ADC), Gateway, 
• SD-WAN WAN Optimization edition (WANOP).

Según la compañía, estas vulnerabilidades no están relacionadas con la vulnerabilidad de RCE CVE-2019-19781 que parcheó en enero de 2020 y no afectan a las versiones en la nube de los dispositivos Citrix.

La explotación exitosa de estos nuevos defectos críticos podría permitir a atacantes no autenticados llevar a cabo con éxito ataques de inyección de código, divulgación de información e incluso denegación de servicio contra la puerta de enlace o los servidores virtuales de autenticación.

«De las 11 vulnerabilidades encontradas, cinco de ellas tienen barreras que impiden la explotación. Además, los usuarios que no tienen tráfico no confiable en la red de administración únicamente pueden estar expuestos a un ataque de denegación de servicio».
Fermín Serna, CISO de Citrix

Entre los dispositivos Citrix SD-WAN WANOP afectados por las fallos, se incluyen los modelos 4000-WO, 4100-WO, 5000-WO y 5100-WO.

En el sitio web de Citrix se encuentra disponible un aviso de seguridad con información detallada sobre estas vulnerabilidades y enlaces a todas las actualizaciones de firmware.

• https://support.citrix.com/article/CTX276688
• https://www.citrix.com/blogs/2020/07/07/citrix-provides-context-on-security-bulletin-ctx276688/

Fuentes:
https://www.welivesecurity.com/la-es/2020/07/06/estan-explotando-vulnerabilidad-critica-dispositivos-big-ip-f5/
https://blog.segu-info.com.ar/2020/07/vulnerabilidad-en-f5-con-puntaje-cvss.html
https://unaaldia.hispasec.com/2020/07/vulnerabilidad-critica-en-tmui-de-f5.html