Aggiornamenti recenti Maggio 21st, 2025 3:42 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- I ruoli di default di AWS consentono compromissioni e movimento laterale
- ESET APT report: crescono gli attacchi russi, cinesi e nordcoreani
- Pwn2Own, a Berlino per la prima volta la categoria IA. I risultati delle giornate
- CERT-AGID 10-16 maggio: l’Agenzia delle Entrate ancora nel mirino
- Trovati dispositivi non autorizzati negli inverter solari cinesi
Falla nei load balancer BIG-IP di F5 Networks. Aziende a rischio attacco
La vulnerabilità mette a rischio i sistemi informatici di banche, enti pubblici e grandi aziende. Gli esperti di F-Secure: “cambiate la configurazione”.
Un bug a livello di codice espone migliaia di aziende ed enti pubblici a un possibile attacco da parte dei pirati informatici.
L’allarme arriva da F-Secure, che in un report pubblicato su Internet segnala il rischio che i cyber-criminali possano sfruttare la vulnerabilità come “testa di ponte” per portare attacchi alle infrastrutture informatiche che utilizzano i dispositivi BIG-IP di F5 Networks.
BIG-IP è un load balancer, cioè un dispositivo che ha il compito di gestire il traffico di rete per garantirne il corretto funzionamento ed evitare blocchi provocati dalla congestione delle reti. Device come questi sono utilizzati normalmente da organizzazioni governative, banche e grandi corporation.
Secondo quanto riporta Christoffer Jerkeby, il ricercatore di F-Secure che ha individuato il problema, la falla si annida nel linguaggio di programmazione Tcl, usato per scrivere le iRules di BIG-IP, cioè la funzione dedicata all’indirizzamento del traffico in entrata.
Nel dettaglio, il problema riguarda un’errata configurazione che consentirebbe a un attaccante di iniettare comandi che gli consentirebbero di intercettare e manipolare il traffico Web o colpire altri bersagli all’interno delle reti e gli stessi utenti che accedono ai servizi.
Secondo Jerkeby, la gravità della falla di sicurezza è amplificata dal fatto che qualsiasi azione di questo tipo non viene registrata a livello di log, rendendo così un eventuale attacco molto difficile da individuare o ricostruire.
“Questa problematica di configurazione è davvero grave perché un attaccante può entrare furtivamente, raggiungere una gran varietà di obiettivi, e poi coprire le sue tracce. Inoltre, molte organizzazioni non sono preparate per trovare e risolvere problematiche che sono sepolte in profondità nella supply chain software, il che porta a un più grande problema per la sicurezza” spiega Jerkeby. “Finché non sai cosa cercare, è difficile prevedere che si sta verificando questo problema, e ancora più difficile affrontarlo in un attacco reale.”
Ma quali sono le dimensioni del problema? Il ricercatore, nel corso della sua analisi, ha individuato più di 300,000 implementazioni BIG-IP attive su internet. Circa il 60 percento delle istanze di BIG-IP che ha trovato erano negli Stati Uniti. Difficile però capire quanti siano a rischio attacco.
“A meno che un’organizzazione non abbia svolto un’indagine approfondita su questa tecnologia, esiste una forte probabilità che abbia questo problema” afferma Jerkeby. “Anche qualcuno incredibilmente ben informato sulla sicurezza che lavora in un’azienda con risorse adeguate può commettere questo errore. Pertanto, diffondere la consapevolezza del problema è molto importante se vogliamo aiutare le organizzazioni a proteggersi meglio da un potenziale scenario di violazione”.
Il rischio è che i pirati informatici sfruttino l’occasione utilizzando un sistema di scansione di massa di Internet per identificare e colpire le istanze vulnerabili della tecnologia. Il consiglio, quindi, è di indagare da subito per verificare la presenza della vulnerabilità.
Jerkeby ha contribuito a sviluppare alcuni strumenti gratuiti e open source che le organizzazioni possono utilizzare per identificare configurazioni non sicure nelle loro implementazioni BIG-IP. Ma secondo il ricercatore, non esiste una soluzione rapida per problemi di sicurezza come questi, quindi spetta alle singole organizzazioni affrontare il problema.
“L’aspetto positivo di questo tipo di problema di sicurezza è che non tutti quelli che usano il prodotto saranno interessati. Ma il rovescio della medaglia è che il problema non può essere risolto con una patch o un aggiornamento del software del fornitore, quindi spetta alle organizzazioni fare il lavoro per verificare se hanno questo problema e, se lo trovano, risolverlo” spiega. “Ecco perché è importante che chiunque usi BIG-IP agisca subito”.
In merito alla vicenda, F5 Networks ha inviato a Security Info un comunicato ufficiale che riportiamo integralmente:
“Non si tratta di una vulnerabilità in TCL o nei prodotti F5, ma piuttosto di un problema legato a pratiche di codifica che possono emergere quando gli utenti creano script in linguaggio TCL per personalizzare la loro infrastruttura di rete. Come accade con molti linguaggi di programmazione, può succedere che il codice creato contenga delle falle di sicurezza. Stiamo lavorando sulla ricerca a livello di documentazione e notifica per assicurarci che i nostri clienti siano in grado di effettuare valutazioni sui loro script personalizzati per individuare i casi in cui questi non aderiscono alle best practice esponendo i sistemi ad attacchi e per informarli sulle misure che possono adottare per mitigare il rischio. Le best practice in questo campo per chi utilizza script personalizzati prevedono di valutarne il funzionamento per assicurarsi che non comportino effetti collaterali inaspettati. Sollecitiamo i nostri clienti a verificare tutti gli script personalizzati che hanno creato e a modificarli secondo queste linee guida. Maggiori informazioni sono disponibili in un apposito security advisory“.
Condividi l'articolo
Ryuk: ransomware e furto di documenti in un colpo solo?
Il trojan Stealth Falcon sfrutta le funzioni di Windows Update
Articoli correlati
Altro in questa categoria
Approfondimenti
-
I ruoli di default di AWS consentono compromissioni e... I ricercatori di Aqua, firma di cybersecurity statunitense,... -
ESET APT report: crescono gli attacchi russi, cinesi e... Ieri ESET ha pubblicato l’ultimo APT report relativo... -
Pwn2Own, a Berlino per la prima volta la categoria IA. I... Dopo tre giorni di intenso hacking si è conclusa Pwn2Own,... -
Europa sotto attacco: aumentano le attività DDoS e dei... Il numero di attacchi DDoS e delle attività dei gruppi... -
Impennata degli attacchi automatizzati: i cybercriminali... Sono sempre di più gli attacchi automatizzati che...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
I ruoli di default di AWS consentono compromissioni e... I ricercatori di Aqua, firma di cybersecurity statunitense,...
-
ESET APT report: crescono gli attacchi russi, cinesi e... Ieri ESET ha pubblicato l’ultimo APT report relativo...
-
Pwn2Own, a Berlino per la prima volta la categoria IA. I... Dopo tre giorni di intenso hacking si è conclusa...
-
CERT-AGID 10-16 maggio: l’Agenzia delle Entrate... Nel corso della settimana, il CERT-AGID ha identificato e... -
Trovati dispositivi non autorizzati negli inverter solari... Una nuova minaccia si abbatte sugli Stati Uniti: secondo...
Ransomware: la serie
No posts found.
