Söndagen den 5 juli 2020 upptäckte våra honeypots opportunistisk massavskanning med ursprung i flera värdar som riktade sig mot F5 BIG-IP-servrar som är sårbara för CVE-2020-5902. Denna kritiska sårbarhet gör det möjligt för oautentiserade fjärrangripare att utföra godtyckliga kommandon på målservern.
Våra senaste CVE-2020-5902-skanningar har identifierat 3 012 sårbara F5-värdar över hela världen.
Bad Packets resultat av sårbarhetsskanning är fritt tillgängliga för auktoriserade statliga CERT-, CSIRT- och ISAC-team.
Sänd en begäran här: https://t.co/0eV9Go1Fsw https://t.co/Sh4lAHpQVn
– Bad Packets (@bad_packets) July 7, 2020
- Hur många värdar är sårbara för CVE-2020-5902?
- Var finns de sårbara servrarna?
- Vilken typ av organisationer påverkas av CVE-2020-5902?
- Hur utnyttjas CVE-2020-5902 och hur stor är risken?
- Vilka åtgärder föreslås för att minska eller åtgärda sårbarheten?
- Indikatorer för kompromiss (IOCs)
- Hur man får tag på vår CVE-2020-5902-rapport
- Om Bad Packets® CTI
Hur många värdar är sårbara för CVE-2020-5902?
Med hjälp av data från BinaryEdge skannade vi 8 204 F5 BIG-IP-servrar för att avgöra vilka som var sårbara. Vid våra skanningar hittade vi totalt 3 012 unika IPv4-värdar världen över som var sårbara för CVE-2020-5902.
Ingen känslig information avslöjades eller registrerades under våra skanningar eftersom vi bara skickade en HTTP HEAD-förfrågan för att bekräfta sårbarheten.
Var finns de sårbara servrarna?
Värdar som är sårbara för CVE-2020-5902 hittades i 66 länder runt om i världen.
Denna interaktiva karta visar det totala antalet sårbara värdar som hittats per land. Totalt sett fanns de mest sårbara F5-servrarna i USA.
Vilken typ av organisationer påverkas av CVE-2020-5902?
635 unika autonoma system (nätverksleverantörer) visade sig ha sårbara F5-slutpunkter i sitt nätverk. Vi har upptäckt att den här sårbarheten för närvarande påverkar:
- Statliga myndigheter
- Öffentliga universitet och skolor
- Sjukhus och vårdgivare
- Stora finans- och bankinstitutioner
- Fortune 500-företag
Hur utnyttjas CVE-2020-5902 och hur stor är risken?
Trafikhanteringsanvändargränssnittet (TMUI), även känt som konfigurationsverktyget, som används för att hantera F5-servrar har en sårbarhet för fjärrkörning av kod (RCE). Sårbarheten gör det möjligt för oautentiserade angripare med nätverksåtkomst till den sårbara F5-servern att utföra godtyckliga systemkommandon, skapa eller ta bort filer, inaktivera tjänster och/eller exekvera godtycklig Javakod.
Fortsatt utnyttjande av sårbarheten kan göra det möjligt för hotfulla aktörer att få fotfäste i de målinriktade nätverken och bedriva illasinnad verksamhet, t.ex. sprida utpressningsprogram. Proof-of-concept-kod (PoC) som visar utnyttjandet har publicerats offentligt på GitHub, Twitter och andra plattformar.
Vilka åtgärder föreslås för att minska eller åtgärda sårbarheten?
F5 har tillhandahållit en lista över produkter som berörs av CVE-2020-5902 och hur man får motsvarande uppdateringar. Det rekommenderas att uppgradera till en fast programvaruversion för att fullt ut minska sårbarheten.
Med tanke på nivån på den pågående skanningsaktiviteten riktad mot sårbara F5-servrar måste systemadministratörer uppdatera ASAP och granska påverkade servrar för att se om det finns tecken på kompromiss.
Indikatorer för kompromiss (IOCs)
Bad Packets® CTI-flöde med värdar som utför CVE-2020-5092-relaterade skanningar, exploateringsaktivitet och indikatorer på kompromiss finns tillgängligt för våra CTI-kunder inom forskning och företag.
Sök i vårt API efter ”tags=CVE-2020-5902” för att bläddra bland den senaste aktiviteten som observerats av våra honeypots.
Opportunistisk massskanning och exploateringsaktivitet fortsätter att rikta sig mot F5 BIG-IP-servrar som är sårbara för CVE-2020-5902.
Sök i vårt API efter ”tags=CVE-2020-5902” för att få en fullständig lista över unika nyttolaster och relevanta indikatorer. #threatintel pic.twitter.com/Gem098SOa2
– Bad Packets (@bad_packets) July 7, 2020
Exempel på DDoS-malware som riktar sig mot sårbara F5-servrar illustreras nedan.
Aktiv DDoS malware payload detected:
http://panel.devilsdennet/iot.sh
http://185.172.111.233:999/sisi/*
(https://t.co/qmOnNTxywH)Exploit attempt source IP: 2.57.122.96 ()
Target: F5 BIG-IP TMUI RCE sårbarhet CVE-2020-5902 (https://t.co/y5Uor8B0qi) #threatintel pic.twitter.com/oprQHizid7
– Bad Packets (@bad_packets) July 6, 2020
Hur man får tag på vår CVE-2020-5902-rapport
Vår CVE-2020-5902-rapport är fritt tillgänglig för auktoriserade statliga CERT-, CSIRT-, ISAC- och brottsbekämpningsgrupper att granska. Medlemskap i FIRST Team är att föredra, men inte ett krav. På grund av sårbarhetens känsliga karaktär kommer de berörda F5-servrarna som upptäcks av Bad Packets® CTI-skanningar inte att delas offentligt.
Kommersiell tillgång till vår CVE-2020-5902-rapport finns också tillgänglig, fyll i det här formuläret för att begära en kopia.
Vi har delat våra resultat direkt med US-CERT, MS-ISAC och andra federala brottsbekämpande myndigheter i USA för vidare utredning och korrigering. Dessutom har vi meddelat dessa organisationer: A-ISAC, CCCS, CERT-BDF, CERT.be, CERT.br, CERT-IL, CERT-In, CERT La Poste, CERT-PH, CERT NZ, CITC, DefCERT, E-ISAC, GovCERT.HK, H-ISAC, HKCERT, ID-SIRTII/CC, JPCERT/CC, KN-CERT, KrCERT/CC, MyCERT, NCIS (FLTCYBERCOM), NCIIPC, REN-ISAC, SingCERT, ThaiCERT, TT-CSIRT, TWCERT/CC, TWCSIRT, TWNCERT och Z-CERT.
Bad Packets vill tacka Cybersecurity and Infrastructure Security Agency (CISA) och Israel National Cyber Directorate (INCD) för deras hjälp med att meddela berörda organisationer.
@CISAgov upprepar detta meddelande. Tack till @bad_packets för att du håller ögonen öppna och förbättrar vår förmåga att identifiera och meddela! https://t.co/dpwBbl9k4l
– Chris Krebs (@CISAKrebs) July 9, 2020
Om Bad Packets® CTI
Bad Packets tillhandahåller kritiska sårbarhetsdata till CERT-team och ISAC-organisationer världen över. Vi övervakar nya cyberhot som riktar sig mot företagsnätverk, IoT-enheter (Internet of Things) och molnmiljöer.
Bad Packets® CTI uppdateras kontinuerligt med de senaste indikatorerna i takt med att nya hot upptäcks. Ett kurerat flöde av exploateringsaktivitet, nyttolaster av skadlig kod och kommando- och kontrollservrar (C2) som används av aktörer i hotet är tillgängligt via vår RESTful API-slutpunkt.
Följ oss på Twitter för att få de senaste uppdateringarna.