Op zondag 5 juli 2020 detecteerden onze honeypots opportunistische massascanactiviteit afkomstig van meerdere hosts die zich richten op F5 BIG-IP servers die kwetsbaar zijn voor CVE-2020-5902. Met deze kritieke kwetsbaarheid kunnen niet-geauthenticeerde aanvallers op afstand willekeurige opdrachten uitvoeren op de server in kwestie.
Onze laatste CVE-2020-5902 scans hebben wereldwijd 3.012 kwetsbare F5-hosts geïdentificeerd.
De resultaten van de kwetsbaarheidsscans van Bad Packets zijn vrij beschikbaar voor geautoriseerde CERT-, CSIRT- en ISAC-teams van de overheid.
Verzoek hier in: https://t.co/0eV9Go1Fsw https://t.co/Sh4lAHpQVn
– Bad Packets (@bad_packets) July 7, 2020
- Hoeveel hosts zijn kwetsbaar voor CVE-2020-5902?
- Waar bevinden zich de kwetsbare servers?
- Welk soort organisaties wordt getroffen door CVE-2020-5902?
- Hoe wordt CVE-2020-5902 misbruikt en wat is het risico?
- Wat zijn de voorgestelde mitigatie/remediation stappen?
- Indicators of compromise (IOC’s)
- Hoe kunt u ons CVE-2020-5902 rapport
- Over Bad Packets® CTI
Hoeveel hosts zijn kwetsbaar voor CVE-2020-5902?
Gebaseerd op gegevens van BinaryEdge, hebben we 8.204 F5 BIG-IP servers gescand om te bepalen welke kwetsbaar waren. Onze scans vonden in totaal 3.012 unieke IPv4 hosts wereldwijd die kwetsbaar waren voor CVE-2020-5902.
Er is geen gevoelige informatie onthuld of vastgelegd tijdens onze scans, omdat we alleen een HTTP HEAD verzoek hebben verstuurd om de kwetsbaarheid te bevestigen.
Waar bevinden zich de kwetsbare servers?
Hosts die kwetsbaar zijn voor CVE-2020-5902 zijn gevonden in 66 landen over de hele wereld.
Op deze interactieve kaart ziet u het totale aantal kwetsbare hosts dat per land is gevonden. Over het algemeen bevonden de kwetsbaarste F5-servers zich in de Verenigde Staten.
Welk soort organisaties wordt getroffen door CVE-2020-5902?
635 unieke autonome systemen (netwerkproviders) bleken kwetsbare F5-eindpunten in hun netwerk te hebben. We hebben ontdekt dat deze kwetsbaarheid momenteel van invloed is op:
- overheidsinstellingen
- openbare universiteiten en scholen
- ziekenhuizen en zorgverleners
- grote financiële en bancaire instellingen
- Fortune 500-bedrijven
Hoe wordt CVE-2020-5902 misbruikt en wat is het risico?
De Traffic Management User Interface (TMUI), ook bekend als het configuratiehulpprogramma, dat wordt gebruikt om F5-servers te beheren, heeft een kwetsbaarheid voor remote code execution (RCE). Deze kwetsbaarheid stelt ongeauthenticeerde aanvallers met netwerktoegang tot de kwetsbare F5-server in staat willekeurige systeemcommando’s uit te voeren, bestanden te maken of te verwijderen, services uit te schakelen en/of willekeurige Java-code uit te voeren.
Verder misbruik van deze kwetsbaarheid kan bedreigers in staat stellen voet aan de grond te krijgen in de beoogde netwerken en kwaadaardige activiteiten uit te voeren, zoals het verspreiden van ransomware. Proof-of-concept (PoC) code die de exploit demonstreert, is openbaar gepubliceerd op GitHub, Twitter en andere platforms.
Wat zijn de voorgestelde mitigatie/remediation stappen?
F5 heeft een lijst van producten die worden beïnvloed door CVE-2020-5902 en hoe de bijbehorende updates te verkrijgen. Het wordt aanbevolen om te upgraden naar een vaste softwareversie om deze kwetsbaarheid volledig te verhelpen.
Gezien het niveau van de voortdurende scanactiviteit gericht op kwetsbare F5-servers, moeten systeembeheerders zo snel mogelijk updates uitvoeren en getroffen servers controleren op tekenen van compromittering.
Indicators of compromise (IOC’s)
Bad Packets® CTI-feed van hosts die CVE-2020-5092-gerelateerde scans uitvoeren, exploit-activiteit en indicatoren van compromittering is beschikbaar voor onze Research en Enterprise CTI-klanten.
Vraag onze API voor “tags=CVE-2020-5902” om door de laatste activiteit te bladeren die door onze honeypots is waargenomen.
Opportunistische massascans en exploitactiviteiten blijven gericht op F5 BIG-IP-servers die kwetsbaar zijn voor CVE-2020-5902.
Vraag onze API voor “tags=CVE-2020-5902” voor een volledige lijst van unieke payloads en relevante indicatoren. #threatintel pic.twitter.com/Gem098SOa2
– Bad Packets (@bad_packets) July 7, 2020
Voorbeeld DDoS malware payload gericht op kwetsbare F5 servers hieronder geïllustreerd.
Actieve DDoS malware payload gedetecteerd:
http://panel.devilsdennet/iot.sh
http://185.172.111.233:999/sisi/*
(https://t.co/qmOnNTxywH)Exploitpoging bron-IP: 2.57.122.96 (
)
Doelwit: F5 BIG-IP TMUI RCE kwetsbaarheid CVE-2020-5902 (https://t.co/y5Uor8B0qi) #threatintel pic.twitter.com/oprQHizid7
– Bad Packets (@bad_packets) July 6, 2020
Hoe kunt u ons CVE-2020-5902 rapport
Ons CVE-2020-5902 rapport is vrij beschikbaar voor geautoriseerde overheid CERT, CSIRT, ISAC, en rechtshandhavingsteams om te bekijken. Lidmaatschap van het FIRST-team geniet de voorkeur, maar is niet vereist. Vanwege de gevoelige aard van deze kwetsbaarheid worden de getroffen F5-servers die door Bad Packets® CTI-scans zijn gedetecteerd, niet openbaar gemaakt.
Commerciële toegang tot ons CVE-2020-5902-rapport is ook beschikbaar, vul dit formulier in om een kopie aan te vragen.
We hebben onze bevindingen rechtstreeks gedeeld met US-CERT, MS-ISAC en andere Amerikaanse federale wetshandhavingsinstanties voor verder onderzoek en herstel. Daarnaast hebben we deze organisaties op de hoogte gesteld: A-ISAC, CCCS, CERT-BDF, CERT.be, CERT.br, CERT-IL, CERT-In, CERT La Poste, CERT-PH, CERT NZ, CITC, DefCERT, E-ISAC, GovCERT.HK, H-ISAC, HKCERT, ID-SIRTII/CC, JPCERT/CC, KN-CERT, KrCERT/CC, MyCERT, NCIS (FLTCYBERCOM), NCIIPC, REN-ISAC, SingCERT, ThaiCERT, TT-CSIRT, TWCERT/CC, TWCSIRT, TWNCERT, en Z-CERT.
Bad Packets wil graag het Cybersecurity and Infrastructure Security Agency (CISA) en het Israel National Cyber Directorate (INCD) bedanken voor hun hulp bij het informeren van getroffen organisaties.
@CISAgov sluit zich bij dit bericht aan. Met dank aan @bad_packets voor het in de gaten houden en verbeteren van ons vermogen om te identificeren en te waarschuwen! https://t.co/dpwBbl9k4l
– Chris Krebs (@CISAKrebs) July 9, 2020
Over Bad Packets® CTI
Bad Packets levert essentiële gegevens over kwetsbaarheden aan CERT-teams en ISAC-organisaties wereldwijd. Wij monitoren opkomende cyberdreigingen die gericht zijn op bedrijfsnetwerken, internet of things (IoT)-apparaten en cloud computing-omgevingen.
Bad Packets® CTI wordt voortdurend bijgewerkt met de nieuwste indicatoren wanneer nieuwe dreigingen worden gedetecteerd. Een gecureerde feed van exploit-activiteit, malware payloads, en command-and-control (C2) servers gebruikt door bedreigingsactoren is beschikbaar via ons RESTful API endpoint.
Volg ons op Twitter voor de laatste updates.