El domingo 5 de julio de 2020, nuestros honeypots detectaron una actividad de escaneo masivo oportunista originada en múltiples hosts dirigidos a servidores F5 BIG-IP vulnerables a CVE-2020-5902. Esta vulnerabilidad crítica permite a los atacantes remotos no autentificados ejecutar comandos arbitrarios en el servidor objetivo.
Nuestros últimos escaneos de CVE-2020-5902 han identificado 3.012 hosts F5 vulnerables en todo el mundo.
Los resultados de los escaneos de vulnerabilidad de Bad Packets están disponibles de forma gratuita para los equipos CERT, CSIRT e ISAC gubernamentales autorizados.
Envíe su solicitud aquí: https://t.co/0eV9Go1Fsw https://t.co/Sh4lAHpQVn
– Bad Packets (@bad_packets) July 7, 2020
- ¿Cuántos hosts son vulnerables a CVE-2020-5902?
- ¿Dónde se encuentran los servidores vulnerables?
- ¿Qué tipo de organizaciones están afectadas por CVE-2020-5902?
- ¿Cómo se explota CVE-2020-5902 y cuál es el riesgo?
- ¿Cuáles son las medidas de mitigación/remediación sugeridas?
- Indicadores de compromiso (IOC)
- Cómo obtener nuestro informe CVE-2020-5902
- Acerca de Bad Packets® CTI
¿Cuántos hosts son vulnerables a CVE-2020-5902?
Usando los datos proporcionados por BinaryEdge, escaneamos 8.204 servidores F5 BIG-IP para determinar cuáles eran vulnerables. Nuestros escaneos encontraron un total de 3.012 hosts IPv4 únicos en todo el mundo vulnerables a CVE-2020-5902.
No se reveló ni registró información sensible durante nuestros escaneos, ya que sólo enviamos una solicitud HTTP HEAD para confirmar la vulnerabilidad.
¿Dónde se encuentran los servidores vulnerables?
Se encontraron hosts vulnerables a CVE-2020-5902 en 66 países de todo el mundo.
Este mapa interactivo muestra el total de hosts vulnerables encontrados por país. En general, los servidores F5 más vulnerables se encontraban en los Estados Unidos.
¿Qué tipo de organizaciones están afectadas por CVE-2020-5902?
Se encontraron 635 sistemas autónomos únicos (proveedores de red) que tenían puntos finales F5 vulnerables en su red. Hemos descubierto que esta vulnerabilidad afecta actualmente a:
- Agencias gubernamentales
- Universidades y escuelas públicas
- Hospitales y proveedores de atención sanitaria
- Instituciones financieras y bancarias importantes
- Empresas de la lista Fortune 500
¿Cómo se explota CVE-2020-5902 y cuál es el riesgo?
La interfaz de usuario de gestión de tráfico (TMUI), también conocida como la utilidad de configuración, utilizada para gestionar los servidores de F5 tiene una vulnerabilidad de ejecución remota de código (RCE). Esta vulnerabilidad permite a los atacantes no autentificados con acceso a la red del servidor F5 vulnerable ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, deshabilitar servicios y/o ejecutar código Java arbitrario.
La explotación posterior de esta vulnerabilidad puede permitir a los actores de la amenaza obtener un punto de apoyo dentro de las redes objetivo y llevar a cabo actividades maliciosas, como la propagación de ransomware. El código de prueba de concepto (PoC) que demuestra el exploit se ha publicado públicamente en GitHub, Twitter y otras plataformas.
¿Cuáles son las medidas de mitigación/remediación sugeridas?
F5 ha proporcionado una lista de productos afectados por CVE-2020-5902 y cómo obtener las actualizaciones correspondientes. Se recomienda actualizar a una versión de software fija para mitigar por completo esta vulnerabilidad.
Dado el nivel de actividad de exploración en curso dirigida a los servidores vulnerables de F5, los administradores de sistemas deben actualizar lo antes posible y revisar los servidores afectados en busca de signos de compromiso.
Indicadores de compromiso (IOC)
El feed de Bad Packets® CTI de los hosts que realizan exploraciones relacionadas con CVE-2020-5092, la actividad de exploits y los indicadores de compromiso está disponible para nuestros clientes de Research y Enterprise CTI.
Consulte nuestra API por «tags=CVE-2020-5902» para navegar por la última actividad observada por nuestros honeypots.
La actividad de escaneos masivos y exploits oportunos sigue teniendo como objetivo los servidores F5 BIG-IP vulnerables a CVE-2020-5902.
Consulte nuestra API por «tags=CVE-2020-5902» para obtener una lista completa de cargas útiles únicas e indicadores relevantes. #threatintel pic.twitter.com/Gem098SOa2
– Bad Packets (@bad_packets) July 7, 2020
Ejemplo de carga útil de malware DDoS dirigido a servidores vulnerables de F5 ilustrado a continuación.
Carga útil de malware DDoS activa detectada:
http://panel.devilsdennet/iot.sh
http://185.172.111.233:999/sisi/*
(https://t.co/qmOnNTxywH)Intento de explotación IP de origen: 2.57.122.96 ()
Objetivo: F5 BIG-IP TMUI RCE vulnerability CVE-2020-5902 (https://t.co/y5Uor8B0qi) #threatintel pic.twitter.com/oprQHizid7
– Bad Packets (@bad_packets) July 6, 2020
Cómo obtener nuestro informe CVE-2020-5902
Nuestro informe CVE-2020-5902 está disponible de forma gratuita para que lo revisen los equipos gubernamentales autorizados de CERT, CSIRT, ISAC y fuerzas de seguridad. Se prefiere ser miembro del equipo FIRST, pero no es obligatorio. Debido a la naturaleza sensible de esta vulnerabilidad, los servidores F5 afectados detectados por los escaneos CTI de Bad Packets® no serán compartidos públicamente.
El acceso comercial a nuestro informe CVE-2020-5902 también está disponible, por favor, rellene este formulario para solicitar una copia.
Hemos compartido nuestros hallazgos directamente con US-CERT, MS-ISAC, y otras agencias federales de aplicación de la ley de los Estados Unidos para una mayor investigación y remediación. Además, hemos notificado a estas organizaciones: A-ISAC, CCCS, CERT-BDF, CERT.be, CERT.br, CERT-IL, CERT-In, CERT La Poste, CERT-PH, CERT NZ, CITC, DefCERT, E-ISAC, GovCERT.HK, H-ISAC, HKCERT, ID-SIRTII/CC, JPCERT/CC, KN-CERT, KrCERT/CC, MyCERT, NCIS (FLTCYBERCOM), NCIIPC, REN-ISAC, SingCERT, ThaiCERT, TT-CSIRT, TWCERT/CC, TWCSIRT, TWNCERT y Z-CERT.
Bad Packets quiere dar las gracias a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y a la Dirección Nacional Cibernética de Israel (INCD) por proporcionar asistencia en la notificación de las organizaciones afectadas.
@CISAgov se hace eco de este mensaje. ¡Gracias a @bad_packets por estar atento y mejorar nuestra capacidad de identificación y notificación! https://t.co/dpwBbl9k4l
– Chris Krebs (@CISAKrebs) 9 de julio de 2020
Acerca de Bad Packets® CTI
Bad Packets proporciona datos de vulnerabilidad críticos a equipos CERT y organizaciones ISAC de todo el mundo. Supervisamos las ciberamenazas emergentes que tienen como objetivo las redes empresariales, los dispositivos del Internet de las cosas (IoT) y los entornos de computación en la nube.
Bad Packets® CTI se actualiza continuamente con los últimos indicadores a medida que se detectan nuevas amenazas. A través de nuestro punto final de la API RESTful se puede acceder a un feed curado de actividad de exploits, cargas útiles de malware y servidores de comando y control (C2) utilizados por los actores de las amenazas.
Síganos en Twitter para conocer las últimas actualizaciones.