V neděli 5. července 2020 naše honeypoty detekovaly oportunistickou aktivitu hromadného skenování pocházející z několika hostitelů zaměřenou na servery F5 BIG-IP zranitelné vůči CVE-2020-5902. Tato kritická zranitelnost umožňuje neautentifikovaným vzdáleným útočníkům spustit na cílovém serveru libovolné příkazy.
Naše nejnovější skenování CVE-2020-5902 identifikovalo 3 012 zranitelných hostitelů F5 po celém světě.
Výsledky skenování zranitelností Bad Packets jsou volně dostupné pro autorizované vládní týmy CERT, CSIRT a ISAC.
Zaslání žádosti zde: https://t.co/0eV9Go1Fsw https://t.co/Sh4lAHpQVn
– Bad Packets (@bad_packets) 7. července 2020
- Kolik hostitelů je zranitelných vůči CVE-2020-5902?
- Kde se nacházejí zranitelné servery?
- Jaký typ organizací je postižen CVE-2020-5902?
- Jak je CVE-2020-5902 zneužitelná a jaké je riziko?
- Jaké jsou navrhované kroky ke zmírnění/nápravě?
- Indikátory kompromitace (IOCs)
- Jak získat naši zprávu CVE-2020-5902
- O společnosti Bad Packets® CTI
Kolik hostitelů je zranitelných vůči CVE-2020-5902?
Na základě údajů poskytnutých společností BinaryEdge jsme prověřili 8 204 serverů F5 BIG-IP a zjistili, které z nich jsou zranitelné. Naše skenování našlo celkem 3 012 unikátních hostitelů IPv4 po celém světě zranitelných vůči CVE-2020-5902.
Během našeho skenování nebyly odhaleny ani zaznamenány žádné citlivé informace, protože jsme pouze odeslali požadavek HTTP HEAD pro potvrzení zranitelnosti.
Kde se nacházejí zranitelné servery?
Hostitelé zranitelní vůči CVE-2020-5902 byli nalezeni v 66 zemích světa.
Tato interaktivní mapa ukazuje celkový počet nalezených zranitelných hostitelů v jednotlivých zemích. Celkově se nejvíce zranitelných serverů F5 nacházelo ve Spojených státech.
Jaký typ organizací je postižen CVE-2020-5902?
V jejich síti bylo nalezeno 635 unikátních autonomních systémů (poskytovatelů sítí) se zranitelnými koncovými body F5. Zjistili jsme, že tato zranitelnost se aktuálně týká:
- Vládních úřadů
- Veřejných univerzit a škol
- Nemocnic a poskytovatelů zdravotní péče
- Významných finančních a bankovních institucí
- Společností z žebříčku Fortune 500
Jak je CVE-2020-5902 zneužitelná a jaké je riziko?
Uživatelské rozhraní TMUI (Traffic Management User Interface), známé také jako nástroj Configuration, které se používá ke správě serverů F5, obsahuje zranitelnost RCE (remote code execution). Tato zranitelnost umožňuje neautentifikovaným útočníkům se síťovým přístupem ke zranitelnému serveru F5 spouštět libovolné systémové příkazy, vytvářet nebo mazat soubory, vypínat služby a/nebo spouštět libovolný kód Java.
Další zneužití této zranitelnosti může aktérům hrozeb umožnit získat pozici uvnitř cílových sítí a provádět škodlivé aktivity, například šířit ransomware. Proof-of-concept (PoC) kód demonstrující zneužití byl veřejně publikován na GitHubu, Twitteru a dalších platformách.
F5 poskytla seznam produktů ovlivněných zranitelností CVE-2020-5902 a návod, jak získat příslušné aktualizace. Pro úplné zmírnění této zranitelnosti se doporučuje aktualizovat na opravenou verzi softwaru.
Vzhledem k úrovni probíhající skenovací aktivity zaměřené na zranitelné servery F5 je třeba, aby správci systémů co nejdříve provedli aktualizaci a zkontrolovali postižené servery z hlediska příznaků kompromitace.
Indikátory kompromitace (IOCs)
Pro naše zákazníky z oblasti výzkumu a podnikové CTI je k dispozici kanál Bad Packets® CTI o hostitelích provádějících skenování související s CVE-2020-5092, aktivitě zneužití a indikátorech kompromitace.
Požádejte naše rozhraní API o „tags=CVE-2020-5902“ a projděte si nejnovější aktivitu zaznamenanou našimi honeypoty.
Optunistic mass scanning and exploit activity continues to target F5 BIG-IP servers vulnerable to CVE-2020-5902.
Požádejte naše rozhraní API o „tags=CVE-2020-5902“ a získejte úplný seznam jedinečných payloadů a příslušných indikátorů. #threatintel pic.twitter.com/Gem098SOa2
– Bad Packets (@bad_packets) 7. července 2020
Níže je znázorněn příklad DDoS malwarového payloadu zaměřeného na zranitelné servery F5.
Detekováno aktivní škodlivé zatížení DDoS:
http://panel.devilsdennet/iot.sh
http://185.172.111.233:999/sisi/*
(https://t.co/qmOnNTxywH)Pokus o zneužití zdrojové IP: 2.57.122.96 ()
Cíl: F5 BIG-IP TMUI RCE zranitelnost CVE-2020-5902 (https://t.co/y5Uor8B0qi) #threatintel pic.twitter.com/oprQHizid7
– Bad Packets (@bad_packets) 6. července 2020
Jak získat naši zprávu CVE-2020-5902
Naše zpráva CVE-2020-5902 je volně k dispozici k nahlédnutí autorizovaným vládním týmům CERT, CSIRT, ISAC a donucovacím orgánům. Členství v týmu FIRST je upřednostňováno, ale není vyžadováno. Vzhledem k citlivé povaze této zranitelnosti nebudou postižené servery F5 zjištěné pomocí skenů Bad Packets® CTI veřejně sdíleny.
Komerční přístup k naší zprávě CVE-2020-5902 je také k dispozici, pro vyžádání kopie vyplňte tento formulář.
Naše zjištění jsme sdíleli přímo s US-CERT, MS-ISAC a dalšími americkými federálními orgány činnými v trestním řízení pro další vyšetřování a nápravu. Kromě toho jsme informovali tyto organizace: A-ISAC, CCCS, CERT-BDF, CERT.be, CERT.br, CERT-IL, CERT-In, CERT La Poste, CERT-PH, CERT NZ, CITC, DefCERT, E-ISAC, GovCERT.HK, H-ISAC, HKCERT, ID-SIRTII/CC, JPCERT/CC, KN-CERT, KrCERT/CC, MyCERT, NCIS (FLTCYBERCOM), NCIIPC, REN-ISAC, SingCERT, ThaiCERT, TT-CSIRT, TWCERT/CC, TWCSIRT, TWNCERT a Z-CERT.
Bad Packets by rád poděkoval Agentuře pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) a Izraelskému národnímu kybernetickému ředitelství (INCD) za poskytnutí pomoci při informování postižených organizací.
@CISAgov opakuje tuto zprávu. Děkujeme @bad_packets za to, že si dává pozor a zlepšuje naši schopnost identifikovat a oznamovat! https://t.co/dpwBbl9k4l
– Chris Krebs (@CISAKrebs) 9. července 2020
O společnosti Bad Packets® CTI
Bad Packets poskytuje kritické údaje o zranitelnostech týmům CERT a organizacím ISAC po celém světě. Monitorujeme vznikající kybernetické hrozby zaměřené na podnikové sítě, zařízení internetu věcí (IoT) a prostředí cloud computingu.
Bad Packets® CTI je průběžně aktualizována o nejnovější indikátory, jakmile jsou zjištěny nové hrozby. Prostřednictvím našeho koncového bodu RESTful API je k dispozici kurátorský zdroj informací o aktivitách exploitů, užitečných zátěžích malwaru a příkazových a řídicích serverech (C2) používaných aktéry hrozeb.
Sledujte nás na Twitteru a získejte nejnovější aktualizace.