Søndag den 5. juli 2020 opdagede vores honeypots opportunistisk massescanningsaktivitet fra flere værter, der var rettet mod F5 BIG-IP-servere, der er sårbare over for CVE-2020-5902. Denne kritiske sårbarhed gør det muligt for uautentificerede fjernangribere at udføre vilkårlige kommandoer på den pågældende server.
Vores seneste CVE-2020-5902-scanninger har identificeret 3.012 sårbare F5-værter verden over.
Bad Packets sårbarhedsscanningsresultater er frit tilgængelige for autoriserede statslige CERT-, CSIRT- og ISAC-teams.
Send anmodning her: https://t.co/0eV9Go1Fsw https://t.co/Sh4lAHpQVn
– Bad Packets (@bad_packets) July 7, 2020
- Hvor mange værter er sårbare over for CVE-2020-5902?
- Hvor er de sårbare servere placeret?
- Hvilken type organisationer er berørt af CVE-2020-5902?
- Hvordan udnyttes CVE-2020-5902, og hvad er risikoen?
- Hvad er de foreslåede tiltag til afhjælpning/afhjælpning?
- Indikatorer for kompromittering (IOC’er)
- Sådan får du vores CVE-2020-5902-rapport
- Om Bad Packets® CTI
Hvor mange værter er sårbare over for CVE-2020-5902?
Ved hjælp af data leveret af BinaryEdge scannede vi 8.204 F5 BIG-IP-servere for at finde ud af, hvilke der var sårbare. Vores scanninger fandt i alt 3.012 unikke IPv4-værter på verdensplan, der var sårbare over for CVE-2020-5902.
Ingen følsomme oplysninger blev afsløret eller registreret under vores scanninger, da vi kun sendte en HTTP HEAD-forespørgsel for at bekræfte sårbarheden.
Hvor er de sårbare servere placeret?
Hosts, der er sårbare over for CVE-2020-5902, blev fundet i 66 lande rundt om i verden.
Dette interaktive kort viser det samlede antal sårbare hosts, der er fundet pr. land. Samlet set var de mest sårbare F5-servere placeret i USA.
Hvilken type organisationer er berørt af CVE-2020-5902?
635 unikke autonome systemer (netværksudbydere) blev fundet at have sårbare F5-slutpunkter på deres netværk. Vi har opdaget, at denne sårbarhed i øjeblikket påvirker:
- Offentlige myndigheder
- Offentlige universiteter og skoler
- Hospitaler og sundhedsudbydere
- Større finans- og bankinstitutioner
- Fortune 500-virksomheder
Hvordan udnyttes CVE-2020-5902, og hvad er risikoen?
Trafikstyringsbrugergrænsefladen (TMUI), også kendt som konfigurationsværktøjet, der bruges til at administrere F5-servere, har en sårbarhed i forbindelse med fjernudførelse af kode (RCE). Denne sårbarhed gør det muligt for uautentificerede angribere med netværksadgang til den sårbare F5-server at udføre vilkårlige systemkommandoer, oprette eller slette filer, deaktivere tjenester og/eller udføre vilkårlig Javakode.
En yderligere udnyttelse af denne sårbarhed kan give trusselsaktører mulighed for at få fodfæste i de målrettede netværk og udføre ondsindet aktivitet, f.eks. spredning af ransomware. Proof-of-concept (PoC)-kode, der demonstrerer udnyttelsen, er blevet offentliggjort offentligt på GitHub, Twitter og andre platforme.
Hvad er de foreslåede tiltag til afhjælpning/afhjælpning?
F5 har givet en liste over produkter, der er berørt af CVE-2020-5902, og hvordan man kan få de tilsvarende opdateringer. Det anbefales at opgradere til en fast softwareversion for fuldt ud at afhjælpe denne sårbarhed.
I betragtning af omfanget af den igangværende scanningsaktivitet rettet mod sårbare F5-servere skal systemadministratorer opdatere hurtigst muligt og gennemgå de berørte servere for tegn på kompromittering.
Indikatorer for kompromittering (IOC’er)
Bad Packets® CTI-feed af værter, der udfører CVE-2020-5092-relaterede scanninger, udnyttelse af aktivitet og indikatorer for kompromittering, er tilgængelig for vores Research- og Enterprise CTI-kunder.
Forsøg vores API for “tags=CVE-2020-5902” for at gennemse den seneste aktivitet observeret af vores honeypots.
Opportunistisk massescanning og udnyttelse af aktivitet fortsætter med at være rettet mod F5 BIG-IP-servere, der er sårbare over for CVE-2020-5902.
Forsøg vores API for “tags=CVE-2020-5902” for at få en komplet liste over unikke nyttelastninger og relevante indikatorer. #threatintel pic.twitter.com/Gem098SOa2
– Bad Packets (@bad_packets) July 7, 2020
Eksempel på DDoS malware payload rettet mod sårbare F5-servere illustreret nedenfor.
Aktiv DDoS-malware-nyttelast opdaget:
http://panel.devilsdennet/iot.sh
http://185.172.111.233:999/sisi/*
(https://t.co/qmOnNTxywH)Kilde-IP for forsøg på udnyttelse: 2.57.122.96 ()
Mål: 2.57.122.96 ()
Mål: F5 BIG-IP TMUI RCE-sårbarhed CVE-2020-5902 (https://t.co/y5Uor8B0qi) #threatintel pic.twitter.com/oprQHizid7
– Bad Packets (@bad_packets) July 6, 2020
Sådan får du vores CVE-2020-5902-rapport
Vores CVE-2020-5902-rapport er frit tilgængelig for autoriserede statslige CERT-, CSIRT-, ISAC- og retshåndhævelseshold til at gennemgå. Medlemskab af FIRST Team foretrækkes, men er ikke påkrævet. På grund af denne sårbarheds følsomme karakter vil de berørte F5-servere, der er opdaget af Bad Packets® CTI-scanninger, ikke blive delt offentligt.
Kommerciel adgang til vores CVE-2020-5902-rapport er også tilgængelig, udfyld venligst denne formular for at anmode om en kopi.
Vi har delt vores resultater direkte med US-CERT, MS-ISAC og andre amerikanske føderale retshåndhævende myndigheder med henblik på yderligere undersøgelse og afhjælpning. Derudover har vi underrettet disse organisationer: A-ISAC, CCCS, CERT-BDF, CERT.be, CERT.br, CERT-IL, CERT-In, CERT La Poste, CERT-PH, CERT NZ, CITC, DefCERT, E-ISAC, GovCERT.HK, H-ISAC, HKCERT, ID-SIRTII/CC, JPCERT/CC, KN-CERT, KrCERT/CC, MyCERT, NCIS (FLTCYBERCOM), NCIIPC, REN-ISAC, SingCERT, ThaiCERT, TT-CSIRT, TT-CSIRT, TWCERT/CC, TWCSIRT, TWNCERT og Z-CERT.
Bad Packets vil gerne takke Cybersecurity and Infrastructure Security Agency (CISA) og Israel National Cyber Directorate (INCD) for deres hjælp med at underrette de berørte organisationer.
@CISAgov gentager dette budskab. Tak til @bad_packets for at holde øje med og forbedre vores evne til at identificere og underrette! https://t.co/dpwBbl9k4l
– Chris Krebs (@CISAKrebs) July 9, 2020
Om Bad Packets® CTI
Bad Packets leverer kritiske sårbarhedsdata til CERT-teams og ISAC-organisationer over hele verden. Vi overvåger nye cybertrusler, der er rettet mod virksomhedsnetværk, IoT-enheder (Internet of Things) og cloud computing-miljøer.
Bad Packets® CTI opdateres løbende med de nyeste indikatorer, efterhånden som der opdages nye trusler. Et kurateret feed af exploit-aktivitet, malware-payloads og command-and-control (C2)-servere, der anvendes af trusselsaktører, er tilgængeligt via vores RESTful API endpoint.
Følg os på Twitter for at få de seneste opdateringer.