I cyber criminali stanno già scansionando la rete alla ricerca di tutti i dispositivi di rete BIG-IP di F5 con interfaccia web esposta. L'installazione della patch è pertanto un priorità assoluta. Come ricorda Johannes Ullrich, ricercatore presso il SANS Technology Institute e fondatore dell'Internet Storm Center, la situazione è grave perché "questi sono dispositivi perimetrali, quindi la compromissione di un singolo dispositivo compromette l'intera rete dietro ad essi".

Oltre tutto, la vulnerabilità in questione apre uno scenario di attualità di grande rilevanza. Questa vulnerabilità dell'infrastruttura di rete arriva una settimana dopo un problema ai firewall di Palo Alto Networks. E dopo che sono stati presi di mira dispositivi di rete Citrix e di altri marchi noti.
Problemi diversi, che portano allo stesso risultato: il concreto rischio della compromissione dell'intera rete aziendale a cui fanno capo i dispositivi esposti. I criminali informatici ne sono consci, ed è per questo che sempre più spesso passano al setaccio le reti alla ricerca di un dettaglio che gli permetta di attivare una vulnerabilità e di assumere il controllo di dispositivi non sicuri. 

Nel caso specifico di BIG-IP sanno che cosa cercare: una vulnerabilità RCE (Remote Code Execution) nelle pagine non rivelate dell'interfaccia utente per la gestione del traffico (TMUI), detta anche Configuration utility. Come aveva spiegato F5 , "questa vulnerabilità consente agli aggressori non autenticati, o agli utenti autenticati, con accesso in rete alla TMUI, attraverso la porta di gestione BIG-IP e/o Self IPs, di eseguire comandi di sistema arbitrari, creare o cancellare file, disabilitare servizi e/o eseguire codice Java arbitrario. Questo problema non è esposto sul piano dei dati, ma solo sul control plane".

Nel caso di Palo Alto Networks si parlava invece di una vulnerabilità critica e facilmente sfruttabile nel sistema operativo PAN-OS. Permetteva un bypass di autenticazione con il quale i cyber criminali potevano accedere ai dispositivi senza bisogno di credenziali.

In questo scenario è quindi importante dare priorità al controllo di integrità e sicurezza di tutti i prodotti perimetrali, oltre che alla tempestiva installazione delle patch. Un lavoro che può essere fatto dalle aziende stesse, senza stanziare budget enormi. Come sottolinea Ullrich, infatti, "la maggior parte dei fornitori dispone di dispositivi virtuali che si possono scaricare e testare". Al giorno d'oggi il test è quindi piuttosto facile da condurre: tanto vale farlo per scongiurare potenziali attacchi.

Per la cronaca, i cyber criminali stanno usando Shodan per rintracciare i dispositivi vulnerabili. È un motore di ricerca per i dispositivi connessi a Internet che è molto in voga, e che permette di "vedere" i dispositivi per i quali è consentito l'accesso all'interfaccia web senza bisogno di credenziali.