Duminică, 5 iulie 2020, honeypots-urile noastre au detectat o activitate oportunistă de scanare în masă provenită de la mai multe gazde care vizează serverele F5 BIG-IP vulnerabile la CVE-2020-5902. Această vulnerabilitate critică permite atacatorilor de la distanță neautentificați să execute comenzi arbitrare pe serverul vizat.
Ultimele noastre scanări CVE-2020-5902 au identificat 3.012 gazde F5 vulnerabile la nivel mondial.
Rezultatele scanărilor de vulnerabilitate Bad Packets sunt disponibile în mod gratuit pentru echipele guvernamentale autorizate CERT, CSIRT și ISAC.
Subliniți cererea aici: https://t.co/0eV9Go1Fsw https://t.co/Sh4lAHpQVn
– Bad Packets (@bad_packets) July 7, 2020
- Câte gazde sunt vulnerabile la CVE-2020-5902?
- Unde sunt localizate serverele vulnerabile?
- Ce tip de organizații sunt afectate de CVE-2020-5902?
- Cum este exploatat CVE-2020-5902 și care este riscul?
- Care sunt măsurile de atenuare/remediere sugerate?
- Indicatori de compromitere (IOC))
- Cum să obțineți raportul nostru CVE-2020-5902
- Despre Bad Packets® CTI
Câte gazde sunt vulnerabile la CVE-2020-5902?
Utilizând datele furnizate de BinaryEdge, am scanat 8.204 servere F5 BIG-IP pentru a determina care sunt vulnerabile. Scanările noastre au găsit un total de 3.012 gazde IPv4 unice la nivel mondial vulnerabile la CVE-2020-5902.
Nu au fost dezvăluite sau înregistrate informații sensibile în timpul scanărilor noastre, deoarece am trimis doar o cerere HTTP HEAD pentru a confirma vulnerabilitatea.
Unde sunt localizate serverele vulnerabile?
Serverele vulnerabile la CVE-2020-5902 au fost găsite în 66 de țări din întreaga lume.
Această hartă interactivă arată numărul total de gazde vulnerabile găsite per țară. În general, cele mai vulnerabile servere F5 au fost localizate în Statele Unite.
Ce tip de organizații sunt afectate de CVE-2020-5902?
S-a constatat că 635 de sisteme autonome unice (furnizori de rețele) aveau puncte finale F5 vulnerabile în rețeaua lor. Am descoperit că această vulnerabilitate afectează în prezent:
- Agenții guvernamentale
- Universități și școli publice
- Spitalii și furnizori de servicii medicale
- Instituții financiare și bancare majore
- Companii Fortune 500
Cum este exploatat CVE-2020-5902 și care este riscul?
Interfața de utilizator pentru gestionarea traficului (TMUI), cunoscută și sub numele de Utilitarul de configurare, utilizată pentru a gestiona serverele F5, prezintă o vulnerabilitate de executare de cod de la distanță (RCE). Această vulnerabilitate permite atacatorilor neautentificați cu acces la rețea la serverul F5 vulnerabil să execute comenzi de sistem arbitrare, să creeze sau să șteargă fișiere, să dezactiveze servicii și/sau să execute cod Java arbitrar.
Exploatarea ulterioară a acestei vulnerabilități poate permite actorilor amenințători să se impună în interiorul rețelelor vizate și să desfășoare activități malițioase, cum ar fi răspândirea de ransomware. Codul Proof-of-concept (PoC) care demonstrează exploatarea a fost publicat în mod public pe GitHub, Twitter și alte platforme.
Care sunt măsurile de atenuare/remediere sugerate?
F5 a furnizat o listă de produse afectate de CVE-2020-5902 și modul de obținere a actualizărilor corespunzătoare. Se recomandă actualizarea la o versiune de software fixă pentru a atenua complet această vulnerabilitate.
Din cauza nivelului de activitate de scanare continuă care vizează serverele F5 vulnerabile, administratorii de sistem trebuie să se actualizeze cât mai curând posibil și să analizeze serverele afectate pentru a vedea dacă există semne de compromitere.
Indicatori de compromitere (IOC))
Furnizarea CTI Bad Packets® a gazdelor care efectuează scanări legate de CVE-2020-5092, activitatea de exploatare și indicatorii de compromitere este disponibilă pentru clienții noștri CTI pentru cercetare și întreprinderi.
Întrebați API-ul nostru pentru „tags=CVE-2020-5902” pentru a parcurge cea mai recentă activitate observată de către honeypots.
Activitatea oportunistă de scanare în masă și de exploatare continuă să vizeze serverele F5 BIG-IP vulnerabile la CVE-2020-5902.
Întrebați API-ul nostru pentru „tags=CVE-2020-5902” pentru o listă completă de sarcini utile unice și indicatori relevanți. #threatintel pic.twitter.com/Gem098SOa2
– Bad Packets (@bad_packets) July 7, 2020
Exemplu de sarcină utilă malware DDoS care vizează serverele F5 vulnerabile, ilustrat mai jos.
Active DDoS malware payload detected:
http://panel.devilsdennet/iot.sh
http://185.172.111.233:999/sisi/*
(https://t.co/qmOnNTxywH)Exploit attempt source IP: 2.57.122.96 ()
Target: F5 BIG-IP TMUI RCE vulnerabilitate CVE-2020-5902 (https://t.co/y5Uor8B0qi) #threatintel pic.twitter.com/oprQHizid7
– Bad Packets (@bad_packets) 6 iulie 2020
Cum să obțineți raportul nostru CVE-2020-5902
Raportul nostru CVE-2020-5902 este disponibil în mod gratuit pentru a fi analizat de echipele guvernamentale autorizate CERT, CSIRT, ISAC și de aplicare a legii. Apartenența la echipa FIRST este preferată, dar nu este necesară. Datorită naturii sensibile a acestei vulnerabilități, serverele F5 afectate detectate de scanările Bad Packets® CTI nu vor fi împărtășite public.
Accesul comercial la raportul nostru CVE-2020-5902 este, de asemenea, disponibil, vă rugăm să completați acest formular pentru a solicita o copie.
Am împărtășit constatările noastre direct cu US-CERT, MS-ISAC și alte agenții federale de aplicare a legii din SUA pentru investigații suplimentare și remediere. În plus, am notificat aceste organizații: A-ISAC, CCCS, CERT-BDF, CERT.be, CERT.br, CERT-IL, CERT-In, CERT La Poste, CERT-PH, CERT NZ, CITC, DefCERT, E-ISAC, GovCERT.HK, H-ISAC, HKCERT, ID-SIRTII/CC, JPCERT/CC, KN-CERT, KrCERT/CC, MyCERT, NCIS (FLTCYBERCOM), NCIIPC, REN-ISAC, SingCERT, ThaiCERT, TT-CSIRT, TWCERT/CC, TWCSIRT, TWNCERT și Z-CERT.
Bad Packets ar dori să mulțumească Agenției pentru Securitatea Cibernetică și Securitatea Infrastructurii (CISA) și Direcției Naționale Cibernetice din Israel (INCD) pentru asistența oferită în notificarea organizațiilor afectate.
@CISAgov se face ecoul acestui mesaj. Mulțumim lui @bad_packets pentru că este atent și ne îmbunătățește capacitatea de identificare și notificare! https://t.co/dpwBbl9k4l
– Chris Krebs (@CISAKrebs) 9 iulie 2020
Despre Bad Packets® CTI
Bad Packets furnizează date critice despre vulnerabilități echipelor CERT și organizațiilor ISAC din întreaga lume. Monitorizăm amenințările cibernetice emergente care vizează rețelele de întreprinderi, dispozitivele Internet of things (IoT) și mediile de cloud computing.
Bad Packets® CTI este actualizat în permanență cu cei mai noi indicatori, pe măsură ce sunt detectate noi amenințări. Un feed curatoriat al activității de exploatare, al încărcăturilor utile malware și al serverelor de comandă și control (C2) utilizate de actorii de amenințare este disponibil prin intermediul endpoint-ului nostru RESTful API.
Să ne urmăriți pe Twitter pentru cele mai recente actualizări.