In Nederland is een handvol F5 BIG-IP-servers aangetroffen dat via internet toegankelijk is en een vorige week verschenen beveiligingsupdate nog niet heeft ontvangen, zo stelt securitybedrijf Bad Packets op basis van eigen onderzoek. De meeste kwetsbare machines bevinden zich in de VS en China.
Aanvallers zoeken inmiddels op grote schaal naar kwetsbare machines, zo melden onder andere Bad Packets, securitybedrijf NCC Group en het CERT-Bund van de Duitse overheid. De BIG-IP-software bevat een kwetsbaarheid waardoor aanvallers via het versturen van een speciaal geprepareerd http-request naar de configuratie-interface volledige controle over de server kunnen krijgen. Op een schaal van 1 tot en met 10 wat betreft de impact is het beveiligingslek met een 10 beoordeeld. Op 1 juli verscheen er een beveiligingsupdate voor de kwetsbaarheid.
Het BIG-IP-platform van F5 wordt voor verschillende toepassingen gebruikt, zoals load balancing en application delivery. Zodra aanvallers toegang tot een BIG-IP-server hebben kunnen ze inloggegevens en licentiesleutels stelen, verkeer onderscheppen en aanpassen, het achterliggende interne netwerk aanvallen en de privésleutels van tls-certificaten op het apparaat stelen.
Inmiddels is erop internet exploitcode verschenen waarmee kwetsbare servers zijn aan te vallen. Aanvallers proberen via de exploits inloggegevens te stelen en malware te installeren die de server ddos-aanvallen laat uitvoeren. Bad Packets voerde een scan uit op bijna vierduizend BIG-IP-servers. Daarvan bleken er ruim 1800 kwetsbaar te zijn. Deze machines werden in 66 verschillende landen aangetroffen en zijn van overheidsinstellingen, zorgverleners, banken, universiteiten en Fortune 500-bedrijven.
Het grootste deel van de kwetsbare servers bevindt zich in de VS (736) en China (284). In Nederland gaat het om zeven machines. Een zelfde aantal werd in België aangetroffen. Naar aanleiding van de waargenomen aanvallen heeft het Nationaal Cyber Security Centrum (NCSC) de inschaling van de kwetsbaarheid verhoogd naar high/high. Het gaat hierbij om de kans op misbruik en schade die een succesvolle aanval kan veroorzaken. Afgelopen vrijdag riep de Amerikaanse overheid al op om de beveiligingsupdate meteen te installeren en niet tot na het weekend te wachten.
Deze posting is gelocked. Reageren is niet meer mogelijk.