207/5 日曜日、当社のハニーポットは CVE-2020-5902 に脆弱な F5 BIG-IP サーバーに向けて複数のホストから発信する日和見大量スキャン活動を検出しました。 この重大な脆弱性は、認証されていないリモートの攻撃者が対象のサーバー上で任意のコマンドを実行することを可能にします。
当社の最新のCVE-2020-5902スキャンでは、世界中で3,012台の脆弱なF5ホストが確認されました。
Bad Packetsの脆弱性スキャン結果は、認定された政府のCERT、CSIRT、ISACチームには自由に利用できます。
リクエストを送信するのはこちらです。 https://t.co/0eV9Go1Fsw https://t.co/Sh4lAHpQVn
– Bad Packets (@bad_packets) July 7, 2020
どれくらいのホストが CVE-2020-5902 に対して脆弱なのか
BinaryEdge が提供するデータを使用して、8204台の F5 BIG-IP サーバーをスキャンして脆弱性を特定した。 私たちのスキャンでは、CVE-2020-5902に対して脆弱なIPv4ホストが世界で合計3,012個見つかりました。
私たちは脆弱性を確認するためにHTTP HEADリクエストを送信しただけなので、スキャン中に機密情報が開示または記録されたわけではありません。
脆弱性のあるサーバーはどこにあるか?
CVE-2020-5902に対して脆弱なホストは、世界66カ国で見つかりました。
このインタラクティブ マップに、国ごとに見つかった脆弱なホストの合計が表示されます。 全体として、最も脆弱な F5 サーバーは米国にありました。
どのような組織が CVE-2020-5902 の影響を受けるのでしょうか?
635 の固有の自律システム(ネットワーク プロバイダ)が、そのネットワーク上に脆弱な F5 端末を持つことが判明しています。 この脆弱性は現在、
- 政府機関
- 公立大学や学校
- 病院や医療機関
- 大手金融機関や銀行
- Fortune500企業
CVE-2020-5902 はどのようにして攻略し、どの程度のリスクがあるのでしょうか?
F5サーバーの管理に使用されるTraffic Management User Interface (TMUI) (別名 Configuration utility)には、リモート コード実行 (RCE) 脆弱性があります。 この脆弱性により、脆弱な F5 サーバーへのネットワーク アクセスを持つ未認証の攻撃者が、任意のシステム コマンドの実行、ファイルの作成または削除、サービスの無効化、および/または任意の Java コードの実行が可能になります。
この脆弱性をさらに悪用すると、脅威の行為者が標的のネットワーク内部に足場を築き、ランサムウェアを拡散するなどの悪質行為を行うことが可能になります。
推奨される緩和策/対処法は?
F5では、CVE-2020-5902の影響を受ける製品のリストと、対応する更新プログラムの入手方法を提供しています。
脆弱な F5 サーバを標的とした継続的なスキャン活動のレベルを考えると、システム管理者は早急に更新し、影響を受けるサーバに侵害の兆候がないか確認する必要があります。
Indicators of compromise (IOCs)
Bad Packets® CTI フィードは、当社の研究およびエンタープライズ CTI 顧客向けに CVE-2020-5092 関連のスキャン、悪用の活動および侵害の兆候を行っているホストを提供します。
Query our API for “tags=CVE-2020-5902” to see the latest activity observed by our honeypots.
Opportunistic mass scanning and exploit activity continues to target F5 BIG-IP servers vulnerable to CVE-2020-5902.
Query our API for “tags=CVE-2020-5902” to a full list of unique payloads and relevant indicators.Optivities for “CVE-2020”.これは、CVE-2020の脆弱性を持つサーバーを標的としたスキャンとエクスプロイト活動です。 #threatintel pic.twitter.com/Gem098SOa2
– Bad Packets (@bad_packets) July 7, 2020
脆弱な F5 サーバーを標的とした DDoS マルウェア ペイロード例を以下に図解します。
Active DDoS malware payload detected:
http://panel.devilsdennet/iot.sh
http://185.172.111.233:999/sisi/*
(https://t.co/qmOnNTxywH)Exploit attempt source IP: 2.57.122.96 ()
Target: F5 BIG-IP TMUI RCE 脆弱性 CVE-2020-5902 (https://t.co/y5Uor8B0qi) #threatintel pic.twitter.com/oprQHizid7
– Bad Packets (@bad_packets) July 6, 2020
弊社の CVE-2020-5902 レポート入手方法
弊社の CVE-2020-5902 レポートは認定政府 CERT、CSIRT、ISAC、法執行チームが自由に確認できるように提供されています。 FIRST チームのメンバーであることが望ましいですが、必須ではありません。 この脆弱性の性質上、Bad Packets® CTI スキャンによって検出された影響を受ける F5 サーバーは一般に公開されません。
当社の CVE-2020-5902 レポートへの商用アクセスも可能ですので、このフォームに記入してコピーを請求してください。 さらに、以下の組織にも通知しました。 A-ISAC, CCCS, CERT-BDF, CERT.be, CERT.br, CERT-IL, CERT-In, CERT La Poste, CERT-PH, CERT NZ, CITC, DefCERT, E-ISAC, GovCERT.HK、H-ISAC、HKCERT、ID-SIRTII/CC、JPCERT/CC、KN-CERT、KrCERT/CC、MyCERT、NCIS(FLTCYBERCOM)、NCIIPC、REN-ISAC、SingCERT、ThaiCERT、TT-CSIRT、TWCERT/CC、TWCSIRT、TWNCERTおよび Z-CERT.
Bad Packetsは、サイバーセキュリティおよびインフラストラクチャ セキュリティ庁(CISA)およびイスラエル国家サイバー総局(INCD)が影響を受ける組織への通知に協力したことに感謝します。
@CISAgov はこのメッセージに返信します。 目を光らせて、識別と通知の能力を向上させてくれた@bad_packetsに感謝します! https://t.co/dpwBbl9k4l
– Chris Krebs (@CISAKrebs) July 9, 2020
About Bad Packets® CTI
Bad Packets provides critical vulnerability data to CERT teams and ISAC organizations worldwide. 企業ネットワーク、モノのインターネット(IoT)デバイス、クラウドコンピューティング環境を標的とした新たなサイバー脅威を監視します。
Bad Packets® CTIは、新しい脅威が検出されると、最新の指標で継続的に更新されます。 悪用活動、マルウェア ペイロード、および脅威の主体が使用するコマンド アンド コントロール (C2) サーバーの精選フィードは、当社の RESTful API エンドポイント経由で利用できます。
Twitterでフォローして、最新の更新情報を入手できます。