2020. július 5-én, vasárnap a honeypotjaink több állomásról származó opportunista tömeges szkennelési tevékenységet észleltek, amelyek a CVE-2020-5902-re sebezhető F5 BIG-IP szerverekre irányultak. Ez a kritikus sebezhetőség lehetővé teszi a nem hitelesített távoli támadók számára, hogy tetszőleges parancsokat hajtsanak végre a célzott szerveren.
A legutóbbi CVE-2020-5902-es vizsgálataink világszerte 3012 sebezhető F5-állomáson azonosítottak.
A Bad Packets sebezhetőségi vizsgálatának eredményei szabadon elérhetőek a felhatalmazott kormányzati CERT, CSIRT és ISAC csapatok számára.
Kérelem benyújtása itt: https://t.co/0eV9Go1Fsw https://t.co/Sh4lAHpQVn
– Bad Packets (@bad_packets) July 7, 2020
- Hány hoszt sebezhető a CVE-2020-5902-re?
- Hol találhatók a sebezhető kiszolgálók?
- Milyen típusú szervezeteket érint a CVE-2020-5902?
- Hogyan használható ki a CVE-2020-5902 és mekkora a kockázat?
- Melyek a javasolt kárenyhítési/helyreállítási lépések?
- A veszélyeztetettség mutatói (IOC-k)
- How to obtain our CVE-2020-5902 report
- A Bad Packets® CTI
Hány hoszt sebezhető a CVE-2020-5902-re?
A BinaryEdge által megadott adatok alapján 8 204 F5 BIG-IP szervert vizsgáltunk át, hogy megállapítsuk, melyek voltak sebezhetőek. Vizsgálataink során világszerte összesen 3012 egyedi IPv4-számítógépet találtunk, amelyek sebezhetőek a CVE-2020-5902-vel szemben.
A vizsgálataink során nem hoztunk nyilvánosságra vagy rögzítettünk érzékeny adatokat, mivel csak egy HTTP HEAD-kérést küldtünk a sebezhetőség megerősítésére.
Hol találhatók a sebezhető kiszolgálók?
A CVE-2020-5902-vel szemben sebezhető hostokat a világ 66 országában találtunk.
Az interaktív térkép országonként mutatja az összes talált sebezhető hostot. Összességében a legtöbb sebezhető F5-kiszolgáló az Egyesült Államokban található.
Milyen típusú szervezeteket érint a CVE-2020-5902?
635 egyedi autonóm rendszer (hálózati szolgáltató) hálózatán találtak sebezhető F5 végpontokat. Úgy találtuk, hogy ez a sebezhetőség jelenleg a következőket érinti:
- Kormányzati szervek
- Állami egyetemek és iskolák
- Kórházak és egészségügyi szolgáltatók
- Nagy pénzügyi és banki intézmények
- Fortune 500 vállalatok
Hogyan használható ki a CVE-2020-5902 és mekkora a kockázat?
A Traffic Management User Interface (TMUI), más néven Configuration utility, amelyet az F5 szerverek kezelésére használnak, távoli kódfuttatási (RCE) sebezhetőséget tartalmaz. Ez a sebezhetőség lehetővé teszi a sebezhető F5-kiszolgálóhoz hálózati hozzáféréssel rendelkező, nem hitelesített támadók számára tetszőleges rendszerparancsok végrehajtását, fájlok létrehozását vagy törlését, szolgáltatások letiltását és/vagy tetszőleges Java-kód futtatását.
A sebezhetőség további kihasználása lehetővé teheti a fenyegető szereplők számára, hogy megvethessék lábukat a célzott hálózatokon belül, és rosszindulatú tevékenységet folytassanak, például zsarolóprogramok terjesztését. A kihasználást demonstráló Proof-of-Concept (PoC) kódot nyilvánosan közzétették a GitHubon, a Twitteren és más platformokon.
Melyek a javasolt kárenyhítési/helyreállítási lépések?
A F5 közzétette a CVE-2020-5902 által érintett termékek listáját és a megfelelő frissítések beszerzésének módját. A sebezhetőség teljes körű csökkentéséhez ajánlott frissíteni a javított szoftververzióra.
A sebezhető F5-kiszolgálókat célzó folyamatos keresési tevékenység szintjét tekintve a rendszergazdáknak minél előbb frissíteniük kell, és át kell vizsgálniuk az érintett kiszolgálókat a veszélyeztetettség jeleire vonatkozóan.
A veszélyeztetettség mutatói (IOC-k)
A Bad Packets® CTI feed a CVE-2020-5092-vel kapcsolatos kereséseket, kihasználási tevékenységet és a veszélyeztetettség mutatóit végző áll rendelkezésre a kutatási és vállalati CTI-ügyfeleink számára.
Kérdezze meg API-nkat a “tags=CVE-2020-5902” kifejezéssel a honeypotjaink által megfigyelt legújabb tevékenységek böngészéséhez.
A CVE-2020-5902 szempontjából sebezhető F5 BIG-IP szerverek továbbra is célpontjai a tömeges szkennelési és kihasználási tevékenységnek.
Kérdezze meg API-nkat a “tags=CVE-2020-5902” kifejezéssel az egyedi hasznos terhek és releváns mutatók teljes listájáért. #threatintel pic.twitter.com/Gem098SOa2
– Bad Packets (@bad_packets) July 7, 2020
Példa DDoS malware payload targeting vulnerable F5 servers illustrated below.
Active DDoS malware payload detected:
http://panel.devilsdennet/iot.sh
http://185.172.111.233:999/sisi/*
(https://t.co/qmOnNTxywH)Exploit attempt source IP: 2.57.122.96 ()
Target: F5 BIG-IP TMUI RCE sebezhetőség CVE-2020-5902 (https://t.co/y5Uor8B0qi) #threatintel pic.twitter.com/oprQHizid7
– Bad Packets (@bad_packets) July 6, 2020
How to obtain our CVE-2020-5902 report
Our CVE-2020-5902 report is freely available for authorized government CERT, CSIRT, ISAC, and law enforcement teams to review. A FIRST Team tagság előnyös, de nem kötelező. A sebezhetőség érzékeny jellege miatt a Bad Packets® CTI vizsgálatai által észlelt érintett F5 szervereket nem osztjuk meg nyilvánosan.
A CVE-2020-5902 jelentésünkhöz kereskedelmi hozzáférés is elérhető, kérjük, töltse ki ezt az űrlapot egy példány igényléséhez.
Találmányainkat közvetlenül megosztottuk az US-CERT-tel, az MS-ISAC-kal és más amerikai szövetségi bűnüldöző szervekkel további vizsgálat és javítás céljából. Ezenkívül értesítettük ezeket a szervezeteket: A-ISAC, CCCS, CERT-BDF, CERT.be, CERT.br, CERT-IL, CERT-In, CERT La Poste, CERT-PH, CERT NZ, CITC, DefCERT, E-ISAC, GovCERT.HK, H-ISAC, HKCERT, ID-SIRTII/CC, JPCERT/CC, KN-CERT, KrCERT/CC, MyCERT, NCIS (FLTCYBERCOM), NCIIPC, REN-ISAC, SingCERT, ThaiCERT, TT-CSIRT, TWCERT/CC, TWCSIRT, TWNCERT és Z-CERT.
A Bad Packets szeretne köszönetet mondani a Cybersecurity and Infrastructure Security Agency (CISA) és az Israel National Cyber Directorate (INCD) számára az érintett szervezetek értesítésében nyújtott segítségért.
@CISAgov csatlakozik ehhez az üzenethez. Köszönjük a @bad_packets-nek, hogy nyitva tartja a szemét és javítja azonosítási és értesítési képességünket! https://t.co/dpwBbl9k4l
– Chris Krebs (@CISAKrebs) July 9, 2020
A Bad Packets® CTI
A Bad Packets kritikus sebezhetőségi adatokat szolgáltat a CERT-csapatok és ISAC-szervezetek számára világszerte. Figyelemmel kísérjük a vállalati hálózatokat, a tárgyak internetét (IoT) szolgáló eszközöket és a felhőalapú számítástechnikai környezeteket célzó új kiberfenyegetéseket.
A Bad Packets® CTI folyamatosan frissül a legújabb mutatókkal, amint új fenyegetéseket észlelnek. A RESTful API végpontunkon keresztül elérhető az exploit-tevékenységek, a rosszindulatú programok hasznos terheinek és a fenyegető szereplők által használt parancs- és vezérlő (C2) szerverek kurátora.
Kövessen minket a Twitteren a legfrissebb frissítésekért.