Falha em sistema de firewall permite excluir arquivos e inutilizar servidores

Nesta asemana, a vulnerabilidade CVE-2022-1388, que afeta os sistemas de firewall BIG-IP da F5, foi detalhada, mostrando que a partir de seu abuso invasores poderiam executar códigos remotos no sistema. Agora, porém, pesquisadores já obtiveram informações de como exatamente os ataques com essa falha estão ocorrendo e como eles podem eliminar dados guardados nos dispositivos afetados.

• Falha crítica em ferramenta de firewall permite sequestro de dados e sistemas
• Bandidos se passaram por diretora de centro contra cibercrime para aplicar golpe

A maioria dos ataques registrados, segundo a firma de segurança SANS Internet Storm Center, envolvem a implementação de webshells nos sistemas para fornecer aos atacantes acessos iniciais à rede, assim como roubo de algumas credenciais de acesso. Porém, em alguns poucos casos, uma situação mais severa foi identificada.

Especificamente, em dois ataques vindo do endereço IP 177.54.127.111, a SANS identificou a execução do comando 'rm -rf /*' do sistema BIG-IP, que após ser inserido executa ações que tentam deletar todos os arquivos armazenado na tecnologia, incluindo os de configuração, necessários para o pleno funcionamento da solução.

Tipo de ataque ainda é minoria

O site BleepingComputer entrou em contato com variados pesquisadores de segurança que trabalham na identificação da ameaça para relatar o possível impacto caso os ataques de deletar arquivos se tornem comuns. Pelo menos no momento atual, isso ainda parece estar longe de acontecer; a maioria dos criminosos preferem roubar dados a destruir as soluções.

Mesmo assim, só o fato de a possibilidade desses ataques existirem já é preocupante. A F5 recomenda que, tão logo atualizações estejam disponíveis para o BIG-IP, os administradores da rede atualizem os sistemas e, nesse meio tempo, evitem ao máximo conectar a solução na internet.

Fonte: BleepingComputer