Aggiornamenti recenti Dicembre 4th, 2023 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- I cybercriminali nord-coreani combinano vecchie campagne per sferrare nuovi attacchi
- Microsoft Entra ID Password Protection: gestire le password in maniera sicura
- Okta, altro che 1%: il breach ha colpito tutti gli utenti
- Google potenzia le difese contro lo spam con RETVec
- IA, QR Code e visori al servizio degli attaccanti: le cyber-previsioni di WatchGuard per il 2024
Falla nei load balancer BIG-IP di F5 Networks. Aziende a rischio attacco
La vulnerabilità mette a rischio i sistemi informatici di banche, enti pubblici e grandi aziende. Gli esperti di F-Secure: “cambiate la configurazione”.
Un bug a livello di codice espone migliaia di aziende ed enti pubblici a un possibile attacco da parte dei pirati informatici.
L’allarme arriva da F-Secure, che in un report pubblicato su Internet segnala il rischio che i cyber-criminali possano sfruttare la vulnerabilità come “testa di ponte” per portare attacchi alle infrastrutture informatiche che utilizzano i dispositivi BIG-IP di F5 Networks.
BIG-IP è un load balancer, cioè un dispositivo che ha il compito di gestire il traffico di rete per garantirne il corretto funzionamento ed evitare blocchi provocati dalla congestione delle reti. Device come questi sono utilizzati normalmente da organizzazioni governative, banche e grandi corporation.
Secondo quanto riporta Christoffer Jerkeby, il ricercatore di F-Secure che ha individuato il problema, la falla si annida nel linguaggio di programmazione Tcl, usato per scrivere le iRules di BIG-IP, cioè la funzione dedicata all’indirizzamento del traffico in entrata.
Nel dettaglio, il problema riguarda un’errata configurazione che consentirebbe a un attaccante di iniettare comandi che gli consentirebbero di intercettare e manipolare il traffico Web o colpire altri bersagli all’interno delle reti e gli stessi utenti che accedono ai servizi.
Secondo Jerkeby, la gravità della falla di sicurezza è amplificata dal fatto che qualsiasi azione di questo tipo non viene registrata a livello di log, rendendo così un eventuale attacco molto difficile da individuare o ricostruire.
“Questa problematica di configurazione è davvero grave perché un attaccante può entrare furtivamente, raggiungere una gran varietà di obiettivi, e poi coprire le sue tracce. Inoltre, molte organizzazioni non sono preparate per trovare e risolvere problematiche che sono sepolte in profondità nella supply chain software, il che porta a un più grande problema per la sicurezza” spiega Jerkeby. “Finché non sai cosa cercare, è difficile prevedere che si sta verificando questo problema, e ancora più difficile affrontarlo in un attacco reale.”
Ma quali sono le dimensioni del problema? Il ricercatore, nel corso della sua analisi, ha individuato più di 300,000 implementazioni BIG-IP attive su internet. Circa il 60 percento delle istanze di BIG-IP che ha trovato erano negli Stati Uniti. Difficile però capire quanti siano a rischio attacco.
“A meno che un’organizzazione non abbia svolto un’indagine approfondita su questa tecnologia, esiste una forte probabilità che abbia questo problema” afferma Jerkeby. “Anche qualcuno incredibilmente ben informato sulla sicurezza che lavora in un’azienda con risorse adeguate può commettere questo errore. Pertanto, diffondere la consapevolezza del problema è molto importante se vogliamo aiutare le organizzazioni a proteggersi meglio da un potenziale scenario di violazione”.
Il rischio è che i pirati informatici sfruttino l’occasione utilizzando un sistema di scansione di massa di Internet per identificare e colpire le istanze vulnerabili della tecnologia. Il consiglio, quindi, è di indagare da subito per verificare la presenza della vulnerabilità.
Jerkeby ha contribuito a sviluppare alcuni strumenti gratuiti e open source che le organizzazioni possono utilizzare per identificare configurazioni non sicure nelle loro implementazioni BIG-IP. Ma secondo il ricercatore, non esiste una soluzione rapida per problemi di sicurezza come questi, quindi spetta alle singole organizzazioni affrontare il problema.
“L’aspetto positivo di questo tipo di problema di sicurezza è che non tutti quelli che usano il prodotto saranno interessati. Ma il rovescio della medaglia è che il problema non può essere risolto con una patch o un aggiornamento del software del fornitore, quindi spetta alle organizzazioni fare il lavoro per verificare se hanno questo problema e, se lo trovano, risolverlo” spiega. “Ecco perché è importante che chiunque usi BIG-IP agisca subito”.
In merito alla vicenda, F5 Networks ha inviato a Security Info un comunicato ufficiale che riportiamo integralmente:
“Non si tratta di una vulnerabilità in TCL o nei prodotti F5, ma piuttosto di un problema legato a pratiche di codifica che possono emergere quando gli utenti creano script in linguaggio TCL per personalizzare la loro infrastruttura di rete. Come accade con molti linguaggi di programmazione, può succedere che il codice creato contenga delle falle di sicurezza. Stiamo lavorando sulla ricerca a livello di documentazione e notifica per assicurarci che i nostri clienti siano in grado di effettuare valutazioni sui loro script personalizzati per individuare i casi in cui questi non aderiscono alle best practice esponendo i sistemi ad attacchi e per informarli sulle misure che possono adottare per mitigare il rischio. Le best practice in questo campo per chi utilizza script personalizzati prevedono di valutarne il funzionamento per assicurarsi che non comportino effetti collaterali inaspettati. Sollecitiamo i nostri clienti a verificare tutti gli script personalizzati che hanno creato e a modificarli secondo queste linee guida. Maggiori informazioni sono disponibili in un apposito security advisory“.
Condividi l'articolo
Ryuk: ransomware e furto di documenti in un colpo solo?
Il trojan Stealth Falcon sfrutta le funzioni di Windows Update
Articoli correlati
Altro in questa categoria
Approfondimenti
-
IA, QR Code e visori al servizio degli attaccanti: le... L’avvicinarsi della fine dell’anno coincide con... -
Carenza di competenze di cybersecurity: un quarto delle... Gli attacchi informatici crescono in numero e in... -
Black Friday ghiotto per il cybercrimine: in vendita 30... Yarix, divisione Digital Security di Var Group, ha... -
I trend delle minacce APT del 2024 Le minacce APT sono tra le più pericolose nel panorama... -
Black Friday e Cyber Monday: è il periodo delle truffe... Secondo l’ultima ricerca di Bitdefender, le truffe...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
I cybercriminali nord-coreani combinano vecchie campagne... I gruppi di cyberattaccanti nord-coreani dietro campagne... -
Okta, altro che 1%: il breach ha colpito tutti gli utenti Okta, la società americana di gestione delle identità, ha... -
Google potenzia le difese contro lo spam con RETVec Google ha rilasciato RETVec, uno strumento open-source per... -
AWS presenta Amazon One Enterprise per autenticarsi col... Durante il re:Invent, la conferenza annuale di Amazon Web... -
Defender Application Guard for Office è ufficialmente... Microsoft ha annunciato che Defender Application Guard for...
Jargon room
Tutorial, guide e altre piccole idee per la sicurezza informatica
Ransomware: la serie
No posts found.
