Een ernstige kwetsbaarheid in F5 BIG-IP-apparaten wordt actief misbruikt door aanvallers, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery.

Op 1 juli verscheen er een beveiligingsupdate voor een ernstige kwetsbaarheid in het platform. Door het versturen van een speciaal geprepareerd http-request naar de configuratie-interface kan een aanvaller volledige controle over de server krijgen. Op een schaal van 1 tot en met 10 wat betreft de impact is het beveiligingslek met een 10 beoordeeld.

Het CISA laat in een nieuwe waarschuwing weten dat aanvallers actief naar kwetsbare apparaten zoeken. Ook is de organisatie bekend met twee gevallen waarbij F5 BIG-IP-apparaten zijn gecompromitteerd. Een aantal dagen na het uitkomen van de beveiligingsupdate werd al bekend dat aanvallers misbruik van het lek maakten en het CISA bevestigt dit. Eerder liet F5 al weten dat organisaties die de update niet tijdig hadden geïnstalleerd en waarvan de configuratie-interaface via internet toegankelijk is ervan uit moesten gaan dat het apparaat is gecompromitteerd.

In het geval van een gecompromitteerd systeem adviseert het CISA om die opnieuw te installeren, nieuwe inloggegevens aan te maken, de toegang tot de managementinterface zoveel mogelijk te beperken en netwerksegementatie toe te passen. Verder heeft het CISA een signature ontwikkeld waarmee kwaadaardige activiteit tegen BIG-IP-apparaten via het Snort-ips is te detecteren.

Bron: Security.nl