Критична вразливість F5 BIG-IP, націлена на деструктивні атаки

Критична вразливість F5 BIG-IP, націлена на деструктивні атаки

Нещодавно розкрита вразливість F5 BIG-IP використовувалася під час деструктивних атак, намагаючись стерти файлову систему пристрою та зробити сервер непридатним для використання.

Минулого тижня F5 виявила вразливість, відстежувану як CVE-2022-1388, яка дозволяє віддаленим зловмисникам виконувати команди на мережевих пристроях BIG-IP як «root» без автентифікації. Через критичний характер помилки F5 закликав адміністраторів застосувати оновлення якомога швидше.

Через кілька днів дослідники почали публічно публікувати експлойти в Twitter і GitHub, і незабаром загрози використовували їх для атак в Інтернеті.

Хоча більшість атак використовувалися для видалення веб-оболонок для початкового доступу до мереж, крадіжки ключів SSH та перерахування системної інформації, SANS Internet Storm Center зафіксував дві атаки, які були спрямовані на пристрої BIG-IP у набагато більш підлий спосіб.

У SANS повідомили BleepingComputer, що їхні прихильники бачили дві атаки з IP-адреси 177.54.127.[.]111, який виконує команду ‘rm -rf /*’ на цільовому пристрої BIG-IP.

Твіт від WITHOUT

Ця команда спробує стерти всі файли у файловій системі Linux пристроїв BIG-IP під час виконання.

Оскільки експлойт надає зловмисникам привілеї root в операційних системах Linux, які живлять пристрої BIG-IP, команда rm -rf /* зможе видалити майже кожен файл, включаючи файли конфігурації, необхідні для правильної роботи пристрою.

Після публікації нашої історії дослідник безпеки Кевін Бомонт підтвердив, що сьогодні ввечері пристрої стираються.

“Можу підтвердити. Реальні пристрої стираються сьогодні ввечері, багато хто на Shodan перестали відповідати”, твітнув Бомонт.

На щастя, ці руйнівні атаки не мають широкого поширення, оскільки більшість суб’єктів загрози прагнуть отримати вигоду від злому пристроїв, а не завдавання шкоди.

Компанії з розвідки загроз кібербезпеки Bad Packets і GreyNoise повідомили BleepingComputer, що вони не бачили жодних деструктивних атак на свої медіа.

Дослідник GreyNoise кімбер сказали, що вони в основному бачать, як експлойти скидають веб-оболонки, вилучають конфігурації або запускають команди для створення облікових записів адміністратора на пристроях.

Хоча руйнівні атаки, які спостерігається SANS, можуть бути рідкісними, той факт, що вони відбуваються, повинен стати всім стимулом для адміністратора, щоб оновити свої пристрої до останніх рівнів виправлення.

Коли ми зв’язалися з F5 щодо цих руйнівних атак, вони повідомили BleepingComputer, що контактують з SANS, і настійно порадили адміністраторам не відкривати інтерфейс керування BIG-IP в Інтернеті.

«Ми зв’язалися з SANS і досліджуємо проблему. Якщо клієнти ще цього не зробили, ми закликаємо їх оновити до фіксованої версії BIG-IP або застосувати один із заходів пом’якшення, описані в рекомендаціях щодо безпеки. Ми наполегливо радимо клієнтам ніколи не відкривати свій інтерфейс керування BIG-IP (TMUI) для загальнодоступного Інтернету та забезпечити наявність відповідних засобів контролю для обмеження доступу». – F5

Однак важливо зазначити, що Бомонт виявив, що атаки також впливають на пристрої на некеруючих портах, якщо вони неправильно налаштовані.

Твіт Кевіна Бомонта

Для тих, хто постраждав від атак на їхні пристрої BIG-IP, F5 повідомив BleepingComputer, що їх команда реагування на інциденти безпеки доступна 24 години на добу, сім днів на тиждень, і з ними можна зв’язатися за номерами (888) 882-7535, (800) 11- 275-435 або онлайн.

Для адміністраторів F5 BIG-IP, які стурбовані, що їхні пристрої вже були скомпрометовані, засновник Sandfly Security Крейг Роуленд пропонування ліцензій на тестування які вони можуть використовувати для перевірки своїх пристроїв.

Оновлення 5/10/22: додано підтвердження від Кевіна Бомонта.

Залишити коментар

Ваша e-mail адреса не оприлюднюватиметься.