In Nederland is een aantal F5 BIG-IP-servers aangetroffen die via internet toegankelijk zijn. De beveiligingsupdate die op 1 juli daarvoor is uitgebracht, is derhalve nog niet op al deze servers geïnstalleerd.
Cybercriminelen speuren inmiddels op grote schaal naar kwetsbare machines. Dat berichten onder andere securitybedrijf Bad Packets, securitybedrijf NCC Group en de CERT-Bund van de Duitse overheid.
Hoogste impact
De BIG-IP-software bevat een beveiligingslek. Daardoor kunnen kwaadwillenden volledige controle over de server krijgen. Hiervoor hoeven zij slechts een speciaal geprepareerd HTTP-request naar de configuratie-interface te verzenden. Op een schaal van 1 tot en met 10 wat betreft de impact, is de kwetsbaarheid met een 10 beoordeeld.
Load balancing en application delivery
Het BIG-IP-platform van F5 wordt ingezet voor uiteenlopende toepassingen, waaronder load balancing en application delivery. Zodra aanvallers zich toegang tot een BIG-IP-server hebben weten te verschaffen, kunnen ze inloggegevens en licentiesleutels ontvreemden. Ook zijn ze in staat om verkeer te onderscheppen en aan te passen, het achterliggende interne netwerk aan te vallen en privésleutels van TLS-certificaten buit te maken.
Exploitcode
Op internet is exploitcode gepubliceerd waarmee de kwetsbare servers zijn te compromitteren. Kwaadwillenden trachten via deze exploits inloggegevens in handen te krijgen en malware te installeren, die de server DDOS-aanvallen laat uitvoeren. Bad Packets scande bijna vierduizend BIG-IP-servers, waarvan er ruim 1.800 kwetsbaar bleken te zijn. De servers bevinden zich in 66 verschillende landen en worden gebruikt door overheidsinstellingen, zorgverleners, banken, universiteiten en Fortune 500-bedrijven.