No domingo, 5 de julho de 2020, nossos honeypots detectaram atividade oportunista de varredura em massa originada de múltiplos hosts visando servidores F5 BIG-IP vulneráveis ao CVE-2020-5902. Esta vulnerabilidade crítica permite que atacantes remotos não autenticados executem comandos arbitrários no servidor alvo.
Nossos últimos scans CVE-2020-5902 identificaram 3.012 hosts F5 vulneráveis em todo o mundo.
Resultados de scans de vulnerabilidade de pacotes maliciosos estão disponíveis gratuitamente para equipes autorizadas do governo CERT, CSIRT e ISAC.
Submeter pedido aqui: https://t.co/0eV9Go1Fsw https://t.co/Sh4lAHpQVn
– Bad Packets (@bad_packets) 7 de julho de 2020
- Quantos hosts são vulneráveis ao CVE-2020-5902?
- Onde estão localizados os servidores vulneráveis?
- Que tipo de organizações são afetadas pelo CVE-2020-5902?
- Como o CVE-2020-5902 é explorado e qual é o risco?
- Quais são as etapas sugeridas de mitigação/remediação?
- Indicadores de comprometimento (IOCs)
- Como obter nosso relatório CVE-2020-5902
- Sobre Bad Packets® CTI
Quantos hosts são vulneráveis ao CVE-2020-5902?
Usando dados fornecidos pela BinaryEdge, nós escaneamos 8.204 servidores BIG-IP de F5 para determinar quais eram vulneráveis. Nossos scans encontraram um total de 3.012 hosts IPv4 únicos no mundo vulnerável ao CVE-2020-5902.
Nenhuma informação sensível foi revelada ou registrada durante nossos scans, já que apenas enviamos um pedido HTTP HEAD para confirmar a vulnerabilidade.
Onde estão localizados os servidores vulneráveis?
Hospedagens vulneráveis ao CVE-2020-5902 foram encontradas em 66 países ao redor do mundo.
Este mapa interativo mostra o total de hosts vulneráveis encontrados por país. Em geral, os servidores F5 mais vulneráveis foram localizados nos Estados Unidos.
Que tipo de organizações são afetadas pelo CVE-2020-5902?
635 sistemas autônomos únicos (provedores de rede) foram encontrados com endpoints F5 vulneráveis em sua rede. Descobrimos que esta vulnerabilidade afeta atualmente:
- Agências governamentais
- Universidades e escolas públicas
- Hospitais e provedores de saúde
- As maiores instituições financeiras e bancárias
- As empresas da Fortune 500
Como o CVE-2020-5902 é explorado e qual é o risco?
A Interface de Usuário de Gerenciamento de Tráfego (TMUI), também conhecida como o utilitário de Configuração, usada para gerenciar servidores F5 tem uma vulnerabilidade de execução de código remoto (RCE). Esta vulnerabilidade permite que atacantes não autenticados com acesso à rede no vulnerável servidor F5 executem comandos arbitrários do sistema, criem ou excluam arquivos, desabilitem serviços e/ou executem código Java arbitrário.
Outra exploração desta vulnerabilidade pode permitir que os atores da ameaça ganhem uma base dentro das redes visadas e conduzam atividades maliciosas, como a propagação de ransomware. O código de prova de conceito (PoC) demonstrando a exploração foi publicado publicamente para o GitHub, Twitter e outras plataformas.
Quais são as etapas sugeridas de mitigação/remediação?
F5 forneceu uma lista de produtos impactados pelo CVE-2020-5902 e como obter as atualizações correspondentes. É recomendado atualizar para uma versão fixa do software para mitigar completamente esta vulnerabilidade.
Dado o nível de atividade de varredura em andamento visando servidores F5 vulneráveis, os administradores de sistema precisam atualizar o mais rápido possível e revisar os servidores afetados por sinais de comprometimento.
Indicadores de comprometimento (IOCs)
Bad Packets® CTI feed de hosts que realizam varreduras relacionadas ao CVE-2020-5092, atividade de exploração e indicadores de comprometimento está disponível para nossos clientes de Pesquisa e CTI Corporativo.
Pergunte nossa API para “tags=CVE-2020-5902” para pesquisar a atividade mais recente observada pelos nossos honeypots.
Atividade de exploração e varredura em massa oportunista continua a visar servidores F5 BIG-IP vulneráveis ao CVE-2020-5902.
Pergunte nossa API para “tags=CVE-2020-5902” para uma lista completa de cargas úteis exclusivas e indicadores relevantes. #threatintel pic.twitter.com/Gem098SOa2
– Bad Packets (@bad_packets) 7 de julho de 2020
Exemplo de carga útil de malware DDoS visando servidores F5 vulneráveis ilustrados abaixo.
Carga activa de malware DDoS detectado:
http://panel.devilsdennet/iot.sh
http://185.172.111.233:999/sisi/*
(https://t.co/qmOnNTxywH)Explorar o IP de origem da tentativa: 2.57.122.96 ()
Alvo: F5 BIG-IP TMUI RCE vulnerabilidade CVE-2020-5902 (https://t.co/y5Uor8B0qi) #threatintel pic.twitter.com/oprQHizid7
– Bad Packets (@bad_packets) 6 de julho de 2020
Como obter nosso relatório CVE-2020-5902
Nosso relatório CVE-2020-5902 está disponível gratuitamente para as equipes autorizadas do governo CERT, CSIRT, ISAC e de aplicação da lei para revisão. É preferível ser membro da Equipe FIRST, mas não é necessário. Devido à natureza sensível desta vulnerabilidade, os servidores F5 afetados detectados pelos scans da Bad Packets® CTI não serão compartilhados publicamente.
O acesso comercial ao nosso relatório CVE-2020-5902 também está disponível, por favor preencha este formulário para solicitar uma cópia.
Partilhamos nossas descobertas diretamente com o US-CERT, MS-ISAC, e outras agências federais de aplicação da lei dos EUA para investigação adicional e remediação. Além disso, nós notificamos essas organizações: A-ISAC, CCCS, CERT-BDF, CERT.be, CERT.br, CERT-IL, CERT-In, CERT La Poste, CERT-PH, CERT NZ, CITC, DefCERT, E-ISAC, GovCERT.HK, H-ISAC, HKCERT, ID-SIRTII/CC, JPCERT/CC, KN-CERT, KrCERT/CC, MyCERT, NCIS (FLTCYBERCOM), NCIIPC, REN-ISAC, SingCERT, ThaiCERT, TT-CSIRT, TWCERT/CC, TWCSIRT, TWNCERT, e Z-CERT.
Bad Packets gostaria de agradecer à Cybersecurity and Infrastructure Security Agency (CISA) e à Israel National Cyber Directorate (INCD) por fornecer assistência na notificação de organizações impactadas.
@CISAgov ecoa esta mensagem. Graças a @bad_packets por manter um olho atento e melhorar a nossa capacidade de identificar e notificar! https://t.co/dpwBbl9k4l
– Chris Krebs (@CISAKrebs) 9 de Julho de 2020
Sobre Bad Packets® CTI
Bad Packets fornece dados críticos de vulnerabilidade para as equipas CERT e organizações ISAC em todo o mundo. Monitoramos as ameaças cibernéticas emergentes que visam redes empresariais, dispositivos de Internet das coisas (IoT) e ambientes de computação em nuvem.
Bad Packets® CTI é continuamente atualizado com os indicadores mais recentes à medida que novas ameaças são detectadas. Um feed curado de atividade de exploração, cargas úteis de malware e servidores de comando e controle (C2) usados pelos atores da ameaça está disponível através do nosso endpoint RESTful API.
Follow us on Twitter para as últimas atualizações.