.
Vulnerabilidades no conjunto BIG-IP da F5 já estão sendo exploradas depois que o código de prova de conceito (PoC) começou a circular online.
O setor de segurança cibernética confirmou em uma atualização de seu comunicado para CVE-2023-46747 que possui evidências de exploração ativa na natureza, menos de cinco dias após a pesquisa inicial de detalhes limitados ter sido publicada pela Praetorian.
Essa vulnerabilidade crítica de contrabando do protocolo Apache JServ (AJP) foi o que atraiu grande parte da atenção do utilitário de configuração BIG-IP da F5 na semana passada. Em seguida, foi agrupado em um comunicado muito maior, contendo vários outros CVEs que impactaram a linha de produtos.
Entre eles estava CVE-2023-46748, uma vulnerabilidade de injeção de SQL com pontuação de gravidade de 8,8. Embora a F5 não tenha revelado a escala da exploração, disse que as falhas de contrabando de AJP e de injeção de SQL estão sendo exploradas juntas.
Michael Weber, co-autor da pesquisa Pretoriana que primeiro divulgou o Vulnerabilidade de contrabando de AJP na semana passada, disse suspeitar que a F5 sabia que uma cadeia de exploração maior estava no horizonte com base no relatório entregue à empresa por um segundo pesquisador cerca de duas semanas antes de Praetorian divulgá-lo à F5.
“Curiosamente, a exploração selvagem está usando a vulnerabilidade de injeção SQL (CVE-2023-46748) em conjunto com o ataque de contrabando de solicitações AJP para obter acesso”, ele disse no Mastodonte. “Essa vulnerabilidade também foi incluída no mesmo comunicado da base de conhecimento do ataque de contrabando de solicitações AJP.
“Originalmente, eu não tinha certeza se o relatório de vulnerabilidade de injeção de SQL era de outro(s) pesquisador(es) de segurança que também relataram a solicitação de AJP contrabandeando conteúdo para F5, mas dada a forma como isso está sendo explorado na natureza, com certeza parece que isso é O caso.”
Os pesquisadores muitas vezes atrasam ou impedem que partes importantes da pesquisa de vulnerabilidades se tornem de conhecimento público, por medo de que os invasores usem relatórios para fazer engenharia reversa de uma exploração de uma determinada vulnerabilidade antes que os patches possam ser aplicados.
As vulnerabilidades do curl, há muito divulgadas, adotaram essa abordagem, permitindo um período de carência de uma semana em que as distribuições dos membros poderiam remediar o problema sem medo de que explorações fossem desenvolvidas antes que pudessem ser aplicadas.
O mesmo aconteceu com a investigação da Praetorian de 26 de Outubro, que omitiu muitos dos principais detalhes de como os seus investigadores conseguiram alcançar a execução remota de código (RCE) explorando a vulnerabilidade de contrabando APJ.
Independentemente disso, o primeiro PoC apareceu online poucos dias após a publicação do relatório de pesquisa incompleto.
Os pesquisadores do Project Discovery Harsh Jaiswal e Rahul Maini foram os primeiros a desenvolver e publicar um exploit PoC funcional, que foi publicado em 29 de outubro.
Weber disse em outra postagem, ele e sua equipe identificaram um único servidor CISA exposto à vulnerabilidade, que foi rapidamente removida após ele notificar a agência, mas muitos no setor de telecomunicações permanecem abertos a ataques.
“Pelo que vale a pena, à primeira vista não havia nada de super insano exposto na internet quando fizemos uma verificação. Encontramos um servidor cisa.gov, sobre o qual os notificamos e foi removido antes que a bola começasse a rolar sobre essas coisas. Muitas e muitas telecomunicações.” ®
.
