El especialista en seguridad finlandés F-Secure advierte de una vulnerabilidad que puede convertir a numerosas empresas en objetivo de ciberataques. Los productos Big IP de F5 Networks están afectados. El proveedor lo niega.
El proveedor de seguridad F-Secure ve una grave amenaza en el uso del equilibrador de carga Big IP de F5 Networks y aconseja a las empresas que utilizan el producto que solucionen cuanto antes los problemas de seguridad de algunas configuraciones estándar. Los atacantes podrían utilizar los equilibradores de carga configurados de forma insegura para penetrar en las redes y llevar a cabo ataques contra empresas o particulares que utilicen servicios web gestionados por un dispositivo comprometido.
La vulnerabilidad se produce en el lenguaje de programación utilizado, Tcl, en el que están escritas las llamadas iRules de Big-IP. Big-IP coordina todo el tráfico entrante a través de estas iRules. Ciertos códigos maliciosos permiten a los atacantes inyectar comandos Tcl arbitrarios en las iRules, que luego se ejecutan en este entorno supuestamente seguro.
Posibles ataques dirigidos
La importancia de esta vulnerabilidad para las empresas afectadas es enorme, ya que los atacantes pueden aprovechar estas iRules configuradas de forma insegura para utilizar los dispositivos BIG-IP comprometidos como punto de partida para otros ataques. Además, es posible que los atacantes intercepten y manipulen el tráfico web. Al revelar información sensible, incluidos los datos de acceso y los secretos personales de las aplicaciones, los usuarios de los servicios web afectados pueden convertirse así en víctimas de ataques.
En algunos casos, explotar un sistema vulnerable es tan sencillo que sólo es necesario inyectar el comando o código malicioso a través de una simple petición web, que el servicio ejecuta para el atacante, según los especialistas de F-Secure. Para empeorar las cosas, en algunas situaciones el dispositivo comprometido no registra las acciones del hacker, por lo que no hay evidencia de un ataque posterior. En otros casos, los atacantes pueden simplemente borrar los archivos de registro, y con ello las pruebas de sus actividades. Esto dificulta considerablemente la investigación y el esclarecimiento de estos incidentes. Un escenario concebible: los hackers podrían espiar a los clientes de los bancos afectados y vaciar sus cuentas bancarias. "Incluso si el cliente informa de estos daños, el ataque sólo sería rastreable para el banco con investigaciones forenses en el equilibrador de carga, ya que los ciberataques de Big IP son muy encubiertos", afirma el consultor de seguridad senior de F-Secure, Christoffer Jerkeby.
Potencialmente, un gran problema de seguridad
Jerkeby continúa: "Este problema de configuración es extremadamente grave, ya que está lo suficientemente oculto como para ser utilizado de forma inadvertida por los hackers. De este modo, pueden perseguir distintos objetivos y, posteriormente, cubrir todos los rastros. Además, muchas organizaciones no están preparadas para identificar y solucionar los riesgos de seguridad que surgen, que se esconden en lo más profundo de las cadenas de suministro de software. Si consideramos todos estos puntos en conjunto, estamos ante un problema de seguridad potencialmente enorme. A menos que las empresas sepan qué buscar, es tremendamente difícil que estén preparadas para este problema, y lo más complicado es, en consecuencia, hacer frente a una situación de ataque concreta."
La investigación de Jerkeby identificó más de 300.000 implementaciones de Big IP activas en Internet, pero sospecha que el número es mucho mayor debido a las limitaciones metodológicas de su investigación. Alrededor del 60% de los casos de Big IP que descubrió se originaron en Estados Unidos.
Y aunque no todas las empresas que utilizan sistemas Big IP se ven automáticamente afectadas, el uso generalizado del equilibrador de carga hace que las organizaciones en cuestión deban examinar y evaluar su propia situación de riesgo. Especialmente con su popularidad entre los bancos, los gobiernos y otras organizaciones que proporcionan servicios web a un gran número de personas, la vulnerabilidad es también elemental para los usuarios de esos servicios.
"A menos que una empresa haya hecho una auditoría técnica exhaustiva de sus sistemas, hay muchas posibilidades de que se vean afectados por la vulnerabilidad", dijo Jerkeby. "Incluso alguien que es increíblemente consciente de la seguridad y trabaja en una empresa bien equipada en términos de tecnología de seguridad podría pasar por alto esta vulnerabilidad. Por esta razón, la educación sobre este tema es realmente importante si queremos ayudar a las empresas a protegerse mejor de un escenario de amenaza potencial"."
¿Qué hacer?
Los escaneos masivos permiten a los hackers explorar Internet en busca de puntos vulnerables en los sistemas Big IP. Dado que estos escaneos masivos también pueden automatizarse con bastante facilidad, es probable que la vulnerabilidad atraiga muy pronto el interés de los llamados cazadores de bugs y atacantes. Además, los posibles piratas informáticos pueden obtener versiones de prueba gratuitas de la tecnología Big IP directamente del fabricante y acceder a instancias en la nube a bajo coste, argumenta F-Secure. Por estas razones, el especialista en seguridad aconseja a las empresas que investiguen activamente si están o no afectadas.
Jerkeby ha ayudado a desarrollar algunas herramientas gratuitas de código abierto que las empresas pueden utilizar para identificar configuraciones inadecuadas en sus implementaciones de BIG-IP. Las empresas afectadas pueden ponerse en contacto con F-Secure para obtener acceso a estas herramientas. Un portavoz de la empresa: "No queremos poner la herramienta a disposición del público porque los atacantes también pueden utilizarla para descubrir configuraciones incorrectas y utilizarlas en su beneficio".
"La buena noticia es que no todos los usuarios del producto se ven afectados automáticamente. Lo malo, en cambio, es que el problema no se puede arreglar mediante un simple parche o una actualización de software del fabricante. Corresponde a las propias empresas afectadas tomar las precauciones adecuadas. Deben comprobar si están realmente afectados por este problema de seguridad. Y ellos mismos tienen la responsabilidad de resolverlo si es necesario", explica Jerkeby. "¡Por eso es tan importante que todos los que usen Big-IP tomen medidas activas ahora!"
Declaración de F5 Networks:
El proveedor afectado, F5 Networks, ya ha respondido a la revelación de la potencial vulnerabilidad publicando un comunicado:
"Esta no es una vulnerabilidad en Tcl (un lenguaje de programación dinámico) ni en los productos de F5. Se trata de un problema relacionado con los procesos de codificación utilizados para crear los guiones. Como ocurre con la mayoría de los lenguajes de programación o de scripting, es posible escribir código de forma que se creen vulnerabilidades. Hemos estado trabajando con el investigador en la documentación y notificación para que los clientes puedan evaluar su vulnerabilidad y tomar las medidas necesarias para minimizar el riesgo. La mejor práctica para los scripts Tcl es evitar todas las expresiones para que no puedan ser reemplazadas o evaluadas inesperadamente. Los clientes deben revisar los scripts Tcl y realizar los cambios que consideren oportunos a la luz de estos consejos. Para más información, consulte esta nota de seguridad: https://support.f5.com/csp/article/K15650046