Domenica 5 luglio 2020, i nostri honeypots hanno rilevato attività di scansione di massa opportunistiche provenienti da più host che prendono di mira i server F5 BIG-IP vulnerabili a CVE-2020-5902. Questa vulnerabilità critica consente agli aggressori remoti non autenticati di eseguire comandi arbitrari sul server preso di mira.
Le nostre ultime scansioni CVE-2020-5902 hanno identificato 3.012 host F5 vulnerabili in tutto il mondo.
I risultati della scansione delle vulnerabilità di Bad Packets sono liberamente disponibili per i team CERT, CSIRT e ISAC governativi autorizzati.
Invia la richiesta qui: https://t.co/0eV9Go1Fsw https://t.co/Sh4lAHpQVn
– Bad Packets (@bad_packets) July 7, 2020
- How many hosts are vulnerable to CVE-2020-5902?
- Dove si trovano i server vulnerabili?
- Quale tipo di organizzazioni sono colpite da CVE-2020-5902?
- Come viene sfruttato CVE-2020-5902 e qual è il rischio?
- Quali sono le misure di mitigazione/rimedio suggerite?
- Indicatori di compromissione (IOCs)
- Come ottenere il nostro rapporto CVE-2020-5902
- About Bad Packets® CTI
How many hosts are vulnerable to CVE-2020-5902?
Usando i dati forniti da BinaryEdge, abbiamo analizzato 8.204 server F5 BIG-IP per determinare quali erano vulnerabili. Le nostre scansioni hanno trovato un totale di 3.012 host IPv4 unici in tutto il mondo vulnerabili a CVE-2020-5902.
Nessuna informazione sensibile è stata rivelata o registrata durante le nostre scansioni poiché abbiamo solo inviato una richiesta HTTP HEAD per confermare la vulnerabilità.
Dove si trovano i server vulnerabili?
Gli host vulnerabili a CVE-2020-5902 sono stati trovati in 66 paesi del mondo.
Questa mappa interattiva mostra gli host vulnerabili totali trovati per paese. Nel complesso, i server F5 più vulnerabili si trovavano negli Stati Uniti.
Quale tipo di organizzazioni sono colpite da CVE-2020-5902?
635 sistemi autonomi unici (fornitori di rete) sono risultati avere endpoint F5 vulnerabili nella loro rete. Abbiamo scoperto che questa vulnerabilità colpisce attualmente:
- Agenzie governative
- Università e scuole pubbliche
- Ospedali e fornitori di assistenza sanitaria
- Grandi istituzioni finanziarie e bancarie
- Compagnie Fortune 500
Come viene sfruttato CVE-2020-5902 e qual è il rischio?
La Traffic Management User Interface (TMUI), nota anche come utility di configurazione, utilizzata per gestire i server F5 presenta una vulnerabilità RCE (remote code execution). Questa vulnerabilità consente agli aggressori non autenticati con accesso di rete al server F5 vulnerabile di eseguire comandi di sistema arbitrari, creare o eliminare file, disattivare servizi e/o eseguire codice Java arbitrario.
L’ulteriore sfruttamento di questa vulnerabilità può consentire agli attori delle minacce di ottenere un punto d’appoggio all’interno delle reti mirate e condurre attività dannose, come la diffusione di ransomware. Il codice Proof-of-concept (PoC) che dimostra l’exploit è stato pubblicato pubblicamente su GitHub, Twitter e altre piattaforme.
Quali sono le misure di mitigazione/rimedio suggerite?
F5 ha fornito un elenco di prodotti interessati da CVE-2020-5902 e come ottenere gli aggiornamenti corrispondenti. Si consiglia di eseguire l’aggiornamento a una versione fissa del software per mitigare completamente questa vulnerabilità.
Dato il livello di attività di scansione in corso che prende di mira i server F5 vulnerabili, gli amministratori di sistema devono aggiornare al più presto ed esaminare i server interessati per individuare eventuali segni di compromissione.
Indicatori di compromissione (IOCs)
Il feed di Bad Packets® CTI degli host che effettuano scansioni correlate a CVE-2020-5092, attività di exploit e indicatori di compromissione è disponibile per i nostri clienti CTI Research ed Enterprise.
Inchiesta la nostra API per “tags=CVE-2020-5902” per consultare l’ultima attività osservata dai nostri honeypots.
La scansione di massa e l’attività di exploit continuano a prendere di mira i server F5 BIG-IP vulnerabili a CVE-2020-5902.
Inchiesta la nostra API per “tags=CVE-2020-5902” per un elenco completo di payload unici e indicatori rilevanti. #threatintel pic.twitter.com/Gem098SOa2
– Bad Packets (@bad_packets) July 7, 2020
Example DDoS malware payload targeting vulnerable F5 servers illustrated below.
Rilevato carico di malware DDoS attivo:
http://panel.devilsdennet/iot.sh
http://185.172.111.233:999/sisi/*
(https://t.co/qmOnNTxywH)Tentativo di exploit IP sorgente: 2.57.122.96 ()
Target: F5 BIG-IP TMUI RCE vulnerabilità CVE-2020-5902 (https://t.co/y5Uor8B0qi) #threatintel pic.twitter.com/oprQHizid7
– Bad Packets (@bad_packets) 6 luglio 2020
Come ottenere il nostro rapporto CVE-2020-5902
Il nostro rapporto CVE-2020-5902 è liberamente disponibile per i team autorizzati di CERT, CSIRT, ISAC e forze dell’ordine del governo da esaminare. L’appartenenza al FIRST Team è preferibile, ma non necessaria. A causa della natura sensibile di questa vulnerabilità, i server F5 interessati rilevati dalle scansioni CTI di Bad Packets® non saranno condivisi pubblicamente.
È disponibile anche l’accesso commerciale al nostro rapporto CVE-2020-5902, compilare questo modulo per richiederne una copia.
Abbiamo condiviso i nostri risultati direttamente con US-CERT, MS-ISAC e altre agenzie federali statunitensi di contrasto per ulteriori indagini e rimedi. Inoltre, abbiamo notificato queste organizzazioni: A-ISAC, CCCS, CERT-BDF, CERT.be, CERT.br, CERT-IL, CERT-In, CERT La Poste, CERT-PH, CERT NZ, CITC, DefCERT, E-ISAC, GovCERT.HK, H-ISAC, HKCERT, ID-SIRTII/CC, JPCERT/CC, KN-CERT, KrCERT/CC, MyCERT, NCIS (FLTCYBERCOM), NCIIPC, REN-ISAC, SingCERT, ThaiCERT, TT-CSIRT, TWCERT/CC, TWCSIRT, TWNCERT e Z-CERT.
Bad Packets desidera ringraziare la Cybersecurity and Infrastructure Security Agency (CISA) e Israel National Cyber Directorate (INCD) per aver fornito assistenza nella notifica delle organizzazioni colpite.
@CISAgov fa eco a questo messaggio. Grazie a @bad_packets per aver tenuto d’occhio e migliorato la nostra capacità di identificare e notificare! https://t.co/dpwBbl9k4l
– Chris Krebs (@CISAKrebs) July 9, 2020
About Bad Packets® CTI
Bad Packets fornisce dati critici sulle vulnerabilità a team CERT e organizzazioni ISAC in tutto il mondo. Monitoriamo le minacce informatiche emergenti che prendono di mira le reti aziendali, i dispositivi Internet of Things (IoT) e gli ambienti di cloud computing.
Bad Packets® CTI viene continuamente aggiornato con gli ultimi indicatori man mano che vengono rilevate nuove minacce. Un feed curato di attività di exploit, carichi utili di malware e server di comando e controllo (C2) utilizzati dagli attori delle minacce è disponibile tramite il nostro endpoint RESTful API.
Seguiteci su Twitter per gli ultimi aggiornamenti.