Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
Falla nei load balancer BIG-IP di F5 Networks. Aziende a rischio attacco
La vulnerabilità mette a rischio i sistemi informatici di banche, enti pubblici e grandi aziende. Gli esperti di F-Secure: “cambiate la configurazione”.
Un bug a livello di codice espone migliaia di aziende ed enti pubblici a un possibile attacco da parte dei pirati informatici.
L’allarme arriva da F-Secure, che in un report pubblicato su Internet segnala il rischio che i cyber-criminali possano sfruttare la vulnerabilità come “testa di ponte” per portare attacchi alle infrastrutture informatiche che utilizzano i dispositivi BIG-IP di F5 Networks.
BIG-IP è un load balancer, cioè un dispositivo che ha il compito di gestire il traffico di rete per garantirne il corretto funzionamento ed evitare blocchi provocati dalla congestione delle reti. Device come questi sono utilizzati normalmente da organizzazioni governative, banche e grandi corporation.
Secondo quanto riporta Christoffer Jerkeby, il ricercatore di F-Secure che ha individuato il problema, la falla si annida nel linguaggio di programmazione Tcl, usato per scrivere le iRules di BIG-IP, cioè la funzione dedicata all’indirizzamento del traffico in entrata.
Nel dettaglio, il problema riguarda un’errata configurazione che consentirebbe a un attaccante di iniettare comandi che gli consentirebbero di intercettare e manipolare il traffico Web o colpire altri bersagli all’interno delle reti e gli stessi utenti che accedono ai servizi.
Secondo Jerkeby, la gravità della falla di sicurezza è amplificata dal fatto che qualsiasi azione di questo tipo non viene registrata a livello di log, rendendo così un eventuale attacco molto difficile da individuare o ricostruire.
“Questa problematica di configurazione è davvero grave perché un attaccante può entrare furtivamente, raggiungere una gran varietà di obiettivi, e poi coprire le sue tracce. Inoltre, molte organizzazioni non sono preparate per trovare e risolvere problematiche che sono sepolte in profondità nella supply chain software, il che porta a un più grande problema per la sicurezza” spiega Jerkeby. “Finché non sai cosa cercare, è difficile prevedere che si sta verificando questo problema, e ancora più difficile affrontarlo in un attacco reale.”
Ma quali sono le dimensioni del problema? Il ricercatore, nel corso della sua analisi, ha individuato più di 300,000 implementazioni BIG-IP attive su internet. Circa il 60 percento delle istanze di BIG-IP che ha trovato erano negli Stati Uniti. Difficile però capire quanti siano a rischio attacco.
“A meno che un’organizzazione non abbia svolto un’indagine approfondita su questa tecnologia, esiste una forte probabilità che abbia questo problema” afferma Jerkeby. “Anche qualcuno incredibilmente ben informato sulla sicurezza che lavora in un’azienda con risorse adeguate può commettere questo errore. Pertanto, diffondere la consapevolezza del problema è molto importante se vogliamo aiutare le organizzazioni a proteggersi meglio da un potenziale scenario di violazione”.
Il rischio è che i pirati informatici sfruttino l’occasione utilizzando un sistema di scansione di massa di Internet per identificare e colpire le istanze vulnerabili della tecnologia. Il consiglio, quindi, è di indagare da subito per verificare la presenza della vulnerabilità.
Jerkeby ha contribuito a sviluppare alcuni strumenti gratuiti e open source che le organizzazioni possono utilizzare per identificare configurazioni non sicure nelle loro implementazioni BIG-IP. Ma secondo il ricercatore, non esiste una soluzione rapida per problemi di sicurezza come questi, quindi spetta alle singole organizzazioni affrontare il problema.
“L’aspetto positivo di questo tipo di problema di sicurezza è che non tutti quelli che usano il prodotto saranno interessati. Ma il rovescio della medaglia è che il problema non può essere risolto con una patch o un aggiornamento del software del fornitore, quindi spetta alle organizzazioni fare il lavoro per verificare se hanno questo problema e, se lo trovano, risolverlo” spiega. “Ecco perché è importante che chiunque usi BIG-IP agisca subito”.
In merito alla vicenda, F5 Networks ha inviato a Security Info un comunicato ufficiale che riportiamo integralmente:
“Non si tratta di una vulnerabilità in TCL o nei prodotti F5, ma piuttosto di un problema legato a pratiche di codifica che possono emergere quando gli utenti creano script in linguaggio TCL per personalizzare la loro infrastruttura di rete. Come accade con molti linguaggi di programmazione, può succedere che il codice creato contenga delle falle di sicurezza. Stiamo lavorando sulla ricerca a livello di documentazione e notifica per assicurarci che i nostri clienti siano in grado di effettuare valutazioni sui loro script personalizzati per individuare i casi in cui questi non aderiscono alle best practice esponendo i sistemi ad attacchi e per informarli sulle misure che possono adottare per mitigare il rischio. Le best practice in questo campo per chi utilizza script personalizzati prevedono di valutarne il funzionamento per assicurarsi che non comportino effetti collaterali inaspettati. Sollecitiamo i nostri clienti a verificare tutti gli script personalizzati che hanno creato e a modificarli secondo queste linee guida. Maggiori informazioni sono disponibili in un apposito security advisory“.
Condividi l'articolo
Ryuk: ransomware e furto di documenti in un colpo solo?
Il trojan Stealth Falcon sfrutta le funzioni di Windows Update
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova...
Ransomware: la serie
No posts found.
