Am Sonntag, den 5. Juli 2020, entdeckten unsere Honeypots opportunistische Massenscan-Aktivitäten, die von mehreren Hosts ausgingen und auf F5 BIG-IP Server abzielten, die anfällig für CVE-2020-5902 waren. Diese kritische Schwachstelle ermöglicht es nicht authentifizierten Angreifern, beliebige Befehle auf dem Zielserver auszuführen.
Unsere neuesten CVE-2020-5902-Scans haben weltweit 3.012 anfällige F5-Hosts identifiziert.
Die Ergebnisse der Schwachstellen-Scans von Bad Packets sind für autorisierte CERT-, CSIRT- und ISAC-Teams der Regierung frei verfügbar.
Senden Sie Ihre Anfrage hier: https://t.co/0eV9Go1Fsw https://t.co/Sh4lAHpQVn
– Bad Packets (@bad_packets) July 7, 2020
- Wie viele Hosts sind anfällig für CVE-2020-5902?
- Wo befinden sich die anfälligen Server?
- Welche Organisationen sind von CVE-2020-5902 betroffen?
- Wie wird CVE-2020-5902 ausgenutzt und wie hoch ist das Risiko?
- Welche Schritte zur Schadensbegrenzung werden empfohlen?
- Indikatoren für eine Kompromittierung (IOCs)
- Wie Sie unseren CVE-2020-5902-Bericht erhalten
- Über Bad Packets® CTI
Wie viele Hosts sind anfällig für CVE-2020-5902?
Anhand der von BinaryEdge bereitgestellten Daten haben wir 8.204 F5 BIG-IP-Server gescannt, um festzustellen, welche anfällig sind. Unsere Scans fanden insgesamt 3.012 eindeutige IPv4-Hosts weltweit, die für CVE-2020-5902 anfällig waren.
Während unserer Scans wurden keine sensiblen Informationen offengelegt oder aufgezeichnet, da wir nur eine HTTP HEAD-Anfrage zur Bestätigung der Sicherheitslücke gesendet haben.
Wo befinden sich die anfälligen Server?
Hosts, die für CVE-2020-5902 anfällig sind, wurden in 66 Ländern auf der ganzen Welt gefunden.
Diese interaktive Karte zeigt die Anzahl der anfälligen Hosts pro Land. Insgesamt befanden sich die meisten anfälligen F5-Server in den Vereinigten Staaten.
Welche Organisationen sind von CVE-2020-5902 betroffen?
635 einzelne autonome Systeme (Netzwerkanbieter) haben anfällige F5-Endpunkte in ihrem Netzwerk. Wir haben festgestellt, dass diese Schwachstelle derzeit betroffen ist:
- Regierungsbehörden
- Öffentliche Universitäten und Schulen
- Krankenhäuser und Gesundheitsdienstleister
- Große Finanz- und Bankinstitute
- Fortune 500-Unternehmen
Wie wird CVE-2020-5902 ausgenutzt und wie hoch ist das Risiko?
Die Traffic Management User Interface (TMUI), auch bekannt als das Konfigurationsprogramm, das zur Verwaltung von F5-Servern verwendet wird, weist eine Schwachstelle für Remotecodeausführung (RCE) auf. Diese Schwachstelle ermöglicht es nicht authentifizierten Angreifern mit Netzwerkzugriff auf den anfälligen F5-Server, beliebige Systembefehle auszuführen, Dateien zu erstellen oder zu löschen, Dienste zu deaktivieren und/oder beliebigen Java-Code auszuführen.
Weiteres Ausnutzen dieser Schwachstelle kann es Bedrohungsakteuren ermöglichen, in den anvisierten Netzwerken Fuß zu fassen und bösartige Aktivitäten wie die Verbreitung von Ransomware durchzuführen. Proof-of-Concept (PoC)-Code, der die Schwachstelle demonstriert, wurde öffentlich auf GitHub, Twitter und anderen Plattformen veröffentlicht.
Welche Schritte zur Schadensbegrenzung werden empfohlen?
F5 hat eine Liste der Produkte bereitgestellt, die von CVE-2020-5902 betroffen sind, und wie man die entsprechenden Updates erhält. Es wird empfohlen, auf eine gefixte Softwareversion zu aktualisieren, um diese Schwachstelle vollständig zu entschärfen.
Angesichts der laufenden Scan-Aktivitäten, die auf anfällige F5-Server abzielen, müssen Systemadministratoren so schnell wie möglich ein Update durchführen und die betroffenen Server auf Anzeichen für eine Kompromittierung überprüfen.
Indikatoren für eine Kompromittierung (IOCs)
Bad Packets® CTI-Feed von Hosts, die Scans im Zusammenhang mit CVE-2020-5092 durchführen, Exploit-Aktivitäten und Indikatoren für eine Kompromittierung sind für unsere CTI-Kunden in Forschung und Unternehmen verfügbar.
Fragen Sie unsere API nach „tags=CVE-2020-5902“ ab, um die neuesten von unseren Honeypots beobachteten Aktivitäten zu durchsuchen.
Massenhafte opportunistische Scans und Exploit-Aktivitäten zielen weiterhin auf F5 BIG-IP-Server ab, die für CVE-2020-5902 anfällig sind.
Fragen Sie unsere API nach „tags=CVE-2020-5902“ ab, um eine vollständige Liste eindeutiger Nutzlasten und relevanter Indikatoren zu erhalten. #threatintel pic.twitter.com/Gem098SOa2
– Bad Packets (@bad_packets) July 7, 2020
Beispiel DDoS-Malware-Nutzlast, die auf anfällige F5-Server abzielt, siehe unten.
Aktive DDoS-Malware-Payload entdeckt:
http://panel.devilsdennet/iot.sh
http://185.172.111.233:999/sisi/*
(https://t.co/qmOnNTxywH)Ausnutzungsversuch Quell-IP: 2.57.122.96 ()
Ziel: F5 BIG-IP TMUI RCE-Schwachstelle CVE-2020-5902 (https://t.co/y5Uor8B0qi) #threatintel pic.twitter.com/oprQHizid7
– Bad Packets (@bad_packets) July 6, 2020
Wie Sie unseren CVE-2020-5902-Bericht erhalten
Unser CVE-2020-5902-Bericht ist für autorisierte Regierungs-CERT-, CSIRT-, ISAC- und Strafverfolgungsteams frei verfügbar. Die Mitgliedschaft im FIRST-Team ist wünschenswert, aber nicht erforderlich. Aufgrund des sensiblen Charakters dieser Schwachstelle werden die betroffenen F5-Server, die von Bad Packets® CTI-Scans entdeckt wurden, nicht öffentlich zugänglich gemacht.
Kommerzieller Zugang zu unserem CVE-2020-5902-Bericht ist ebenfalls verfügbar; bitte füllen Sie dieses Formular aus, um eine Kopie anzufordern.
Wir haben unsere Ergebnisse direkt mit US-CERT, MS-ISAC und anderen US-Bundesbehörden zur weiteren Untersuchung und Behebung geteilt. Außerdem haben wir diese Organisationen benachrichtigt: A-ISAC, CCCS, CERT-BDF, CERT.be, CERT.br, CERT-IL, CERT-In, CERT La Poste, CERT-PH, CERT NZ, CITC, DefCERT, E-ISAC, GovCERT.HK, H-ISAC, HKCERT, ID-SIRTII/CC, JPCERT/CC, KN-CERT, KrCERT/CC, MyCERT, NCIS (FLTCYBERCOM), NCIIPC, REN-ISAC, SingCERT, ThaiCERT, TT-CSIRT, TWCERT/CC, TWCSIRT, TWNCERT, und Z-CERT.
Bad Packets dankt der Cybersecurity and Infrastructure Security Agency (CISA) und dem Israel National Cyber Directorate (INCD) für die Unterstützung bei der Benachrichtigung betroffener Organisationen.
@CISAgov schließt sich dieser Nachricht an. Vielen Dank an @bad_packets, der die Augen offen hält und unsere Fähigkeit zur Identifizierung und Benachrichtigung verbessert! https://t.co/dpwBbl9k4l
– Chris Krebs (@CISAKrebs) July 9, 2020
Über Bad Packets® CTI
Bad Packets stellt CERT-Teams und ISAC-Organisationen weltweit kritische Schwachstellendaten zur Verfügung. Wir überwachen aufkommende Cyber-Bedrohungen, die auf Unternehmensnetzwerke, IoT-Geräte (Internet der Dinge) und Cloud-Computing-Umgebungen abzielen.
Bad Packets® CTI wird kontinuierlich mit den neuesten Indikatoren aktualisiert, sobald neue Bedrohungen entdeckt werden. Ein kuratierter Feed von Exploit-Aktivitäten, Malware-Nutzlasten und Command-and-Control-Servern (C2), die von Bedrohungsakteuren verwendet werden, ist über unseren RESTful-API-Endpunkt verfügbar.
Folgen Sie uns auf Twitter für die neuesten Updates.