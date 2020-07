Een ernstige kwetsbaarheid in F5 BIG-IP-apparaten waarvoor op 1 juli een beveiligingsupdate verscheen wordt sinds gisteren actief aangevallen. Dat laat onderzoeker Rich Warren van securitybedrijf NCC Group via Twitter weten. De kwetsbaarheid is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld. Via het beveiligingslek kan een aanvaller volledige controle over kwetsbare BIG-IP-apparaten krijgen.

Alleen het versturen van een speciaal geprepareerd http-request naar de Traffic Management User Interface (TMUI) voor het configureren van de BIG-IP is voldoende om de aanval uit te voeren. Hiervoor moet de TMUI wel toegankelijk zijn vanaf het internet, wat afhankelijk van de gebruikte versie standaard het geval is. De kwetsbaarheid werd ontdekt door securitybedrijf Positive Technologies, dat eerder ook een zeer ernstig beveiligingslek in Citrix ontdekte. Er zijn op dit moment zo'n 8500 kwetsbare systemen op internet te vinden.

Volgens Warren proberen de aanvallers eerst verschillende bestanden te lezen en wachtwoorden te stelen. Dit is een eerste controle, waarna de aanvallers de volledige "payload" op het systeem uitvoeren, aldus de onderzoeker. Nate Warfield, een voormalig medewerker van F5 en tegenwoordig werkzaam voor het Microsoft Security Response Center, laat weten dat de exploit aanvallers volledige ongeauthenticeerde toegang tot het systeem geeft. Warfield verwacht grootschalig misbruik binnen één a twee dagen.

Het U.S. Cyber Command, een afdeling van het Pentagon dat zich met cyberoperaties bezighoudt, adviseerde vrijdag al om de beveiligingsupdate meteen te installeren en niet tot na het weekend te wachten. De F5 BIG-IP application delivery controller is een apparaat dat wordt geplaatst in een datacentrum tussen de firewall en één of meer applicatieservers. Dergelijke systemen moeten de belasting over meerdere servers verdelen en de prestaties van de applicatie verbeteren. De apparaten worden onder andere door banken, internetproviders en Fortune 500-bedrijven gebruikt.