Il colosso della sicurezza delle applicazioni F5 ha detto di indagare su una presunta vulnerabilità zero day che colpisce il server web NGINX.
“Siamo consapevoli delle segnalazioni di un problema con NGINX Web Server. Abbiamo dato la priorità all’indagine della questione e forniremo ulteriori informazioni il più rapidamente possibile“, ha detto un portavoce a The Record .
F5 ha acquistato la società dietro il popolare web server open-source per 670 milioni di dollari nel 2019.
Il problema è venuto alla luce per la prima volta sabato, quando un account Twitter collegato a un gruppo chiamato “BlueHornet” ha twittato su un exploit sperimentale per NGINX 1.18.
“Mentre lo stavamo testando, una manciata di aziende e società sono cadute sotto di esso“, ha detto il gruppo. Non hanno risposto alle richieste di commento, ma un altro ricercatore ha condiviso una conversazione che ha avuto con le persone dietro BlueHornet sul problema.
Il gruppo ha spiegato che l’exploit ha due fasi e inizia con l’iniezione LDAP.
LDAP è l’acronimo di Lightweight Directory Access Protocol e LDAP Injection è un attacco utilizzato per sfruttare le applicazioni basate sul web che costruiscono dichiarazioni LDAP basate sull’input dell’utente.
Il gruppo ha poi creato una pagina GitHub dove hanno spiegato in dettaglio come hanno scoperto il problema e come funziona.
“Ci era stato dato questo exploit dal nostro gruppo gemello, BrazenEagle, che lo stava sviluppando da alcune settimane. O almeno da quando Spring4Shell è uscito. Inizialmente eravamo confusi, poiché LDAP non interagisce molto con NGINX, tuttavia, c’è un demone ldap-auth utilizzato insieme a NGINX, che permette di utilizzarlo. Viene utilizzato principalmente per ottenere l’accesso a istanze private di Github, Bitbucket, Jekins e Gitlab. Come alcune ulteriori analisi sono in corso, il modulo relativo al demone LDAP-auth all’interno di nginx è influenzato notevolmente. 😉 Tutto ciò che coinvolge i login opzionali LDAP funziona anche. Questo include gli account Atlassian“.
Hanno affermato che le configurazioni predefinite di NGINX sembrano essere vulnerabili e hanno raccomandato agli utenti di disabilitare alcune funzioni per rimanere protetti.
Il gruppo ha anche criticato NGINX per non aver risposto ai loro messaggi.
Il gruppo Blue Hornet ha affermato di aver testato lo zero day sulla Royal Bank of Canada, ma non ha spiegato se la banca fosse stata effettivamente violata. Più tardi ha detto di aver violato i sistemi della filiale cinese di UBS Securities.
Nessuna delle due istituzioni ha risposto alle richieste di commento.
Bud Broomhead, CEO di Viakoo, ha detto che LDAP è stato in giro per oltre 25 anni ed è stato storicamente attraente per gli attori delle minacce da sfruttare attraverso l’iniezione LDAP, spoofing e altri meccanismi.
“Poiché LDAP si estende ai dispositivi IoT (che sono da 5 a 20 volte più numerosi dei dispositivi IT), le organizzazioni che eseguono LDAP devono crittografare il traffico utilizzando i certificati TLS sui dispositivi IoT, avere meccanismi automatizzati per aggiornare il firmware dei dispositivi IoT e garantire che le password dei dispositivi IoT siano aggiornate regolarmente e seguano le politiche aziendali”, ha detto Broomhead.
John Bambenek di Netenrich ha aggiunto che non ha visto prove di sfruttamento ha detto che potrebbe cambiare rapidamente.
“I progetti open source su cui ci affidiamo possono rapidamente diventare finestre per gli attaccanti in quanto non è più sicuro del software closed source”, ha detto.
Dopo tre giorni NGINX ha rilasciato un blog sul problema, scrivendo che colpisce solo le implementazioni di riferimento e non colpisce NGINX Open Source o NGINX Plus.
L’azienda ha detto che le distribuzioni dell’implementazione di riferimento LDAP sono colpite dalle vulnerabilità se i parametri della riga di comando sono utilizzati per configurare il demone Python, se ci sono parametri di configurazione inutilizzati e opzionali e se l’autenticazione LDAP dipende dall’appartenenza a un gruppo specifico.
NGINX ha fornito mitigazioni specifiche per tutte e tre le istanze.
