W niedzielę, 5 lipca 2020, nasze honeypoty wykryły oportunistyczne masowe skanowanie pochodzące z wielu hostów ukierunkowane na serwery F5 BIG-IP podatne na CVE-2020-5902. Ta krytyczna luka pozwala nieupoważnionym zdalnym napastnikom na wykonanie dowolnych poleceń na zaatakowanym serwerze.
Nasze ostatnie skanowania CVE-2020-5902 zidentyfikowały 3 012 podatnych hostów F5 na całym świecie.
Wyniki skanowania podatności Bad Packets są swobodnie dostępne dla autoryzowanych rządowych zespołów CERT, CSIRT i ISAC.
Wyślij zgłoszenie tutaj: https://t.co/0eV9Go1Fsw https://t.co/Sh4lAHpQVn
– Bad Packets (@bad_packets) July 7, 2020
- Ile hostów jest podatnych na CVE-2020-5902?
- Gdzie znajdują się podatne serwery?
- Jakiego typu organizacje są dotknięte przez CVE-2020-5902?
- Jak CVE-2020-5902 jest wykorzystywany i jakie jest ryzyko?
- Jakie są sugerowane kroki zaradcze?
- Wskaźniki kompromitacji (IOCs)
- Jak uzyskać nasz raport CVE-2020-5902
- About Bad Packets® CTI
Ile hostów jest podatnych na CVE-2020-5902?
Używając danych dostarczonych przez BinaryEdge, przeskanowaliśmy 8 204 serwery F5 BIG-IP w celu określenia, które z nich były podatne. Nasze skanowanie znalazło w sumie 3 012 unikalnych hostów IPv4 na całym świecie podatnych na CVE-2020-5902.
Żadne poufne informacje nie zostały ujawnione lub zarejestrowane podczas naszego skanowania, ponieważ wysłaliśmy tylko żądanie HTTP HEAD w celu potwierdzenia podatności.
Gdzie znajdują się podatne serwery?
Hosty podatne na CVE-2020-5902 zostały znalezione w 66 krajach na całym świecie.
Ta interaktywna mapa pokazuje całkowitą liczbę podatnych hostów znalezionych w każdym kraju. Ogólnie, najbardziej podatne serwery F5 były zlokalizowane w Stanach Zjednoczonych.
Jakiego typu organizacje są dotknięte przez CVE-2020-5902?
635 unikalnych systemów autonomicznych (dostawców sieci) zostało uznanych za posiadające podatne punkty końcowe F5 w swojej sieci. Odkryliśmy, że ta luka dotyczy obecnie:
- Agencji rządowych
- Uniwersytetów publicznych i szkół
- Szpitali i dostawców usług medycznych
- Większych instytucji finansowych i bankowych
- Firm z listy Fortune 500
Jak CVE-2020-5902 jest wykorzystywany i jakie jest ryzyko?
Interfejs użytkownika Traffic Management (TMUI), znany również jako narzędzie Configuration, używany do zarządzania serwerami F5 posiada lukę w zabezpieczeniach przed zdalnym wykonaniem kodu (RCE). Ta luka pozwala nieuprawnionym napastnikom z dostępem do sieci do podatnego serwera F5 na wykonywanie dowolnych poleceń systemowych, tworzenie lub usuwanie plików, wyłączanie usług i/lub wykonywanie dowolnego kodu Java.
Dalsza eksploatacja tej luki może pozwolić zagrożeniom na uzyskanie przyczółka wewnątrz sieci docelowych i prowadzenie szkodliwych działań, takich jak rozprzestrzenianie oprogramowania ransomware. Kod Proof-of-concept (PoC) demonstrujący exploit został opublikowany publicznie na GitHubie, Twitterze i innych platformach.
Jakie są sugerowane kroki zaradcze?
F5 dostarczyło listę produktów, na które ma wpływ CVE-2020-5902 i jak uzyskać odpowiednie aktualizacje. Zaleca się aktualizację do poprawionej wersji oprogramowania, aby w pełni zniwelować tę lukę.
Zważywszy na poziom bieżącej aktywności skanowania wymierzonego w podatne serwery F5, administratorzy systemów powinni dokonać aktualizacji ASAP i sprawdzić dotknięte serwery pod kątem oznak kompromitacji.
Wskaźniki kompromitacji (IOCs)
Dla naszych klientów Research i Enterprise CTI dostępna jest informacja o hostach przeprowadzających skanowanie związane z CVE-2020-5092, aktywności exploitów i wskaźników kompromitacji.
Zapytaj o nasze API dla „tags=CVE-2020-5902”, aby przejrzeć najnowszą aktywność zaobserwowaną przez nasze honeypoty.
Okazjonalne masowe skanowanie i aktywność exploitów nadal jest wymierzona w serwery F5 BIG-IP podatne na CVE-2020-5902.
Zapytaj o nasze API dla „tags=CVE-2020-5902”, aby uzyskać pełną listę unikalnych ładunków i odpowiednich wskaźników. #threatintel pic.twitter.com/Gem098SOa2
– Bad Packets (@bad_packets) July 7, 2020
Przykładowy ładunek złośliwego oprogramowania DDoS wymierzony w podatne serwery F5 zilustrowany poniżej.
Wykryto aktywny ładunek DDoS malware:
http://panel.devilsdennet/iot.sh
http://185.172.111.233:999/sisi/*
(https://t.co/qmOnNTxywH)Exploit attempt source IP: 2.57.122.96 ()
Target: F5 BIG-IP TMUI RCE vulnerability CVE-2020-5902 (https://t.co/y5Uor8B0qi) #threatintel pic.twitter.com/oprQHizid7
– Bad Packets (@bad_packets) July 6, 2020
Jak uzyskać nasz raport CVE-2020-5902
Nasz raport CVE-2020-5902 jest swobodnie dostępny do wglądu dla autoryzowanych rządowych zespołów CERT, CSIRT, ISAC i organów ścigania. Członkostwo w zespole FIRST jest preferowane, ale nie wymagane. Z powodu wrażliwej natury tej luki, dotknięte nią serwery F5 wykryte przez skanowanie Bad Packets® CTI nie będą udostępniane publicznie.
Komercyjny dostęp do naszego raportu CVE-2020-5902 jest również dostępny, prosimy o wypełnienie tego formularza w celu uzyskania kopii.
Podzieliliśmy się naszymi ustaleniami bezpośrednio z US-CERT, MS-ISAC i innymi federalnymi organami ścigania w USA w celu przeprowadzenia dalszego dochodzenia i podjęcia środków zaradczych. Dodatkowo, powiadomiliśmy te organizacje: A-ISAC, CCCS, CERT-BDF, CERT.be, CERT.br, CERT-IL, CERT-In, CERT La Poste, CERT-PH, CERT NZ, CITC, DefCERT, E-ISAC, GovCERT.HK, H-ISAC, HKCERT, ID-SIRTII/CC, JPCERT/CC, KN-CERT, KrCERT/CC, MyCERT, NCIS (FLTCYBERCOM), NCIIPC, REN-ISAC, SingCERT, ThaiCERT, TT-CSIRT, TWCERT/CC, TWCSIRT, TWNCERT oraz Z-CERT.
Bad Packets chciałby podziękować Cybersecurity and Infrastructure Security Agency (CISA) oraz Israel National Cyber Directorate (INCD) za pomoc w powiadomieniu dotkniętych organizacji.
@CISAgov potwierdza tę wiadomość. Dziękujemy @bad_packets za czujność i poprawę naszej zdolności do identyfikacji i powiadamiania! https://t.co/dpwBbl9k4l
– Chris Krebs (@CISAKrebs) July 9, 2020
About Bad Packets® CTI
Bad Packets dostarcza dane o krytycznych podatnościach zespołom CERT i organizacjom ISAC na całym świecie. Monitorujemy pojawiające się zagrożenia cybernetyczne skierowane przeciwko sieciom korporacyjnym, urządzeniom Internetu rzeczy (IoT) i środowiskom cloud computing.
Bad Packets® CTI jest stale aktualizowany o najnowsze wskaźniki w miarę wykrywania nowych zagrożeń. Wyselekcjonowane informacje o aktywności exploitów, ładunkach złośliwego oprogramowania oraz serwerach dowodzenia i kontroli (C2) wykorzystywanych przez podmioty stanowiące zagrożenie są dostępne za pośrednictwem naszego punktu końcowego RESTful API.
Śledź nas na Twitterze, aby uzyskać najnowsze aktualizacje.