Sunnuntaina 5. heinäkuuta 2020 honeypotimme havaitsivat opportunistista massaskannaustoimintaa, joka oli peräisin useista isännistä, jotka kohdistuivat CVE-2020-5902:lle alttiisiin F5 BIG-IP-palvelimiin. Tämä kriittinen haavoittuvuus mahdollistaa auktorisoimattomien etähyökkääjien suorittaa mielivaltaisia komentoja kohteena olevalla palvelimella.
Viimeisimmät CVE-2020-5902-skannauksemme havaitsivat 3 012 haavoittuvaa F5-isäntää maailmanlaajuisesti.
Bad Packetsin haavoittuvuusskannaustulokset ovat vapaasti saatavilla valtuutetuille valtionhallinnollisille CERT-, CSIRT- ja ISAC-tiimeille.
Lähetä pyyntö täällä: https://t.co/0eV9Go1Fsw https://t.co/Sh4lAHpQVn
– Bad Packets (@bad_packets) July 7, 2020
- Miten monta isäntäkonetta on haavoittuvainen CVE-2020-5902:lle?
- Missä haavoittuvat palvelimet sijaitsevat?
- Minkälaisiin organisaatioihin CVE-2020-5902 vaikuttaa?
- Miten CVE-2020-5902:aa hyödynnetään, ja minkälainen on riski?
- Mitkä ovat ehdotetut lieventämis-/korjaustoimenpiteet?
- Vaavoittuvuusindikaattorit (Indicators of compromise, IOC:t)
- Miten CVE-2020-5902-raportti saadaan
- About Bad Packets® CTI
Miten monta isäntäkonetta on haavoittuvainen CVE-2020-5902:lle?
Käyttämällä BinaryEdgen toimittamia tietoja skannasimme 8204 F5 BIG-IP -palvelinta selvittääksemme, mitkä niistä olivat haavoittuvia. Skannauksissamme löytyi yhteensä 3 012 yksilöllistä IPv4-isäntää maailmanlaajuisesti, jotka olivat haavoittuvia CVE-2020-5902:lle.
Skannauksissamme ei paljastettu tai tallennettu arkaluonteisia tietoja, sillä lähetimme vain HTTP HEAD -pyynnön haavoittuvuuden vahvistamiseksi.
Missä haavoittuvat palvelimet sijaitsevat?
Hostit, jotka ovat haavoittuvia CVE-2020-5902:lle, löytyivät 66 maasta eri puolilta maailmaa.
Tässä interaktiivisessa kartassa näkyvät maittain löydetyt haavoittuvat hostit. Kaiken kaikkiaan haavoittuvimmat F5-palvelimet sijaitsivat Yhdysvalloissa.
Minkälaisiin organisaatioihin CVE-2020-5902 vaikuttaa?
635:llä yksittäisellä autonomisella järjestelmällä (verkon tarjoajalla) havaittiin olevan haavoittuvia F5-päätepisteitä verkossaan. Olemme havainneet, että tämä haavoittuvuus vaikuttaa tällä hetkellä:
- Hallintovirastot
- Julkiset yliopistot ja koulut
- Sairaalat ja terveydenhuoltopalvelujen tarjoajat
- Suuret rahoitus- ja pankkilaitokset
- Fortune 500 -yritykset
Miten CVE-2020-5902:aa hyödynnetään, ja minkälainen on riski?
F5-palvelimien hallintaan käytettävässä Traffic Management User Interface (TMUI) -käyttöliittymässä, joka tunnetaan myös nimellä Configuration utility, on RCE-haavoittuvuus (Remote Code Execution). Tämä haavoittuvuus mahdollistaa sen, että auktorisoimattomat hyökkääjät, joilla on verkkoyhteys haavoittuvaan F5-palvelimeen, voivat suorittaa mielivaltaisia järjestelmäkomentoja, luoda tai poistaa tiedostoja, poistaa palveluita käytöstä ja/tai suorittaa mielivaltaista Java-koodia.
Tämän haavoittuvuuden myöhempi hyödyntäminen voi mahdollistaa sen, että uhkatoimijat voivat saada jalansijaa kohteena olevissa verkoissa ja harjoittaa haitallista toimintaa, kuten lunnasohjelmien levittämistä. Hyödyntämistä demonstroiva Proof-of-Concept (PoC) -koodi on julkaistu julkisesti GitHubissa, Twitterissä ja muilla alustoilla.
Mitkä ovat ehdotetut lieventämis-/korjaustoimenpiteet?
F5 on toimittanut luettelon tuotteista, joihin CVE-2020-5902 on vaikuttanut, ja siitä, miten niitä vastaavat päivitykset saadaan. On suositeltavaa päivittää vahvistettuun ohjelmistoversioon, jotta tätä haavoittuvuutta voidaan täysin lieventää.
Kun otetaan huomioon haavoittuviin F5-palvelimiin kohdistuva jatkuva skannausaktiviteetti, järjestelmänvalvojien on päivitettävä päivitys ASAP ja tarkistettava haavoittuvat palvelimet haavoittuvuuden merkkien varalta.
Vaavoittuvuusindikaattorit (Indicators of compromise, IOC:t)
Tutkimus- ja yrityskohtaisten CTI-asiakkaidemme käytettävissä on Bad Packets® CTI-syötteenä tietoja isännistä, jotka suorittavat CVE-2020-55092:n kaltaisia tarkistuksia, hyväksikäyttöä koskevaa aktiviteettiä, haavoittuvuusindikaattoreista.
Kysy API-koodia ”tags=CVE-2020-5902” selataksesi honeypotiemme havaitsemaa viimeisintä toimintaa.
Opportunistinen massaskannaus ja hyväksikäyttöaktiviteetti kohdistuu edelleen F5 BIG-IP -palvelimiin, jotka ovat alttiita CVE-2020-5902:lle.
Kysy API-koodia ”tags=CVE-2020-5902” saadaksesi täydellisen luettelon yksilöllisistä hyötykuormituksista ja asiaankuuluvista indikaattoreista. #threatintel pic.twitter.com/Gem098SOa2
– Bad Packets (@bad_packets) July 7, 2020
Alhaalla havainnollistettu esimerkki DDoS-haittaohjelman hyötykuormasta, joka kohdistuu haavoittuviin F5-palvelimiin.
Aktiivinen DDoS-haittaohjelman hyötykuorma havaittu:
http://panel.devilsdennet/iot.sh
http://185.172.111.233:999/sisi/*
(https://t.co/qmOnNTxywH)Hyökkäysyritys lähde-IP: 2.57.122.96 ()
Kohde: F5 BIG-IP TMUI RCE haavoittuvuus CVE-2020-5902 (https://t.co/y5Uor8B0qi) #threatintel pic.twitter.com/oprQHizid7
– Bad Packets (@bad_packets) July 6, 2020
Miten CVE-2020-5902-raportti saadaan
Meidän CVE-2020-5902-raporttimme CVE-2020-5902 raportti on vapaasti saatavilla valtuutetuille valtionhallintojen CERT-, CSIRT-, ISAC-, ISAC- ja poliisiviranomaisjoukkueiden tarkasteltavaksi. FIRST-tiimin jäsenyys on suotavaa, mutta ei välttämätöntä. Tämän haavoittuvuuden arkaluonteisuuden vuoksi Bad Packets® CTI-skannausten havaitsemia F5-palvelimia, joihin haavoittuvuus vaikuttaa, ei jaeta julkisesti.
Kaupallinen pääsy CVE-2020-5902-raporttiimme on myös saatavilla, pyydä kopio täyttämällä tämä lomake.
Olemme jakaneet havaintojamme suoraan US-CERT:n, MS-ISAC:n ja muiden Yhdysvaltain liittovaltion lainvalvontaviranomaisten kanssa jatkotutkimuksia ja korjauksia varten. Lisäksi ilmoitimme asiasta näille organisaatioille: A-ISAC, CCCS, CERT-BDF, CERT.be, CERT.br, CERT-IL, CERT-In, CERT La Poste, CERT-PH, CERT NZ, CITC, DefCERT, E-ISAC, GovCERT.HK, H-ISAC, HKCERT, ID-SIRTII/CC, JPCERT/CC, KN-CERT, KrCERT/CC, MyCERT, NCIS (FLTCYBERCOM), NCIIPC, REN-ISAC, SingCERT, ThaiCERT, TT-CSIRT, TWCERT/CC, TWCSIRT, TWNCERT ja Z-CERT.
Bad Packets haluaa kiittää Cybersecurity and Infrastructure Security Agencya (CISA) ja Israelin kansallista kyberturvallisuusvirastoa (INCD) avusta, joka tarjosi apua asianomaisten organisaatioiden ilmoittamisessa.
@CISAgov toistaa tämän viestin. Kiitos @bad_packets, joka pitää silmällä ja parantaa kykyämme tunnistaa ja ilmoittaa! https://t.co/dpwBbl9k4l
– Chris Krebs (@CISAKrebs) July 9, 2020
About Bad Packets® CTI
Bad Packets tarjoaa kriittisiä haavoittuvuustietoja CERT-ryhmille ja ISAC-organisaatioille maailmanlaajuisesti. Seuraamme uusia kyberuhkia, jotka kohdistuvat yritysverkkoihin, esineiden internetin (IoT) laitteisiin ja pilvipalveluympäristöihin.
Bad Packets® CTI:tä päivitetään jatkuvasti uusimmilla indikaattoreilla, kun uusia uhkia havaitaan. RESTful API -päätepisteemme kautta on saatavilla kuratoitua syötettä hyväksikäyttöaktiviteeteista, haittaohjelmien hyötykuormista ja uhkatoimijoiden käyttämistä C2-palvelimista.
Seuraa meitä Twitterissä saadaksesi uusimmat päivitykset.