Vulnerabilità critica F5 BIG-IP presa di mira da attacchi distruttivi
La vulnerabilità F5 BIG-IP recentemente esposta è stata utilizzata in attacchi devastanti, nel tentativo di cancellare il file system di un dispositivo e rendere inutilizzabile il server.
la scorsa settimana, F5.rilevamento Una vulnerabilità tracciata come CVE-2022-1388 che consente agli aggressori remoti di eseguire comandi su dispositivi di rete BIG-IP come “root” senza autenticazione. A causa della natura critica del bug, F5 ha esortato gli amministratori ad applicare gli aggiornamenti il prima possibile.
Pochi giorni dopo, i ricercatori hanno iniziato a pubblicare pubblicamente le loro vulnerabilità su Twitter e GitHub, con Gli attori delle minacce li usano rapidamente negli attacchi In linea.
Mentre la maggior parte degli attacchi è stata utilizzata per rilasciare shell Web per l’accesso iniziale alla rete, rubare chiavi SSH ed enumerare le informazioni di sistema, il SANS Internet Storm Center ha visto due attacchi che hanno preso di mira i dispositivi BIG-IP in modo più nefasto.
SANS ha detto a BleepingComputer che la loro attrazione aveva due attacchi provenienti dall’indirizzo IP 177.54.127[.]111 che esegue il comando “rm -rf /*” sul dispositivo BIG-IP di destinazione.
Questo comando tenterà di cancellare tutti i file sul file system Linux dei dispositivi BIG-IP una volta eseguito.
Poiché l’exploit fornisce agli aggressori i privilegi di root in I sistemi operativi Linux eseguono dispositivi BIG-IPIl comando rm -rf /* sarà in grado di eliminare quasi tutti i file, inclusi i file di configurazione necessari per il corretto funzionamento del dispositivo.
Dopo che la nostra storia è stata pubblicata, il ricercatore di sicurezza Kevin Beaumont ha confermato che i dispositivi sono stati spazzati via questa sera.
“Posso confermare. L’hardware del mondo reale viene cancellato questa sera e gran parte dell’hardware di Shodan ha smesso di rispondere”, cinguettare Beaumont.
Fortunatamente, questi attacchi devastanti non sembrano essere diffusi, con la maggior parte degli attori delle minacce che cercano di sfruttare i dispositivi di hacking piuttosto che causare danni.
Società di intelligence sulle minacce alla sicurezza informatica pacchetti difettosi E GrayNoise Ha detto a BleepingComputer che non hanno visto attacchi devastanti alle loro attrazioni.
Ricercatore GrayNoise Kimber Hanno detto che vedono principalmente exploit che rilasciano shell web, hackerano configurazioni o eseguono comandi per creare account amministratore sulle macchine.
Sebbene gli attacchi devastanti visti da SANS possano essere rari, il fatto che si verifichino dovrebbe essere l’unico incentivo di cui un amministratore ha bisogno per aggiornare i propri dispositivi agli ultimi livelli di patch.
Quando abbiamo contattato F5 in merito a questi attacchi devastanti, hanno detto a BleepingComputer di essere in contatto con SANS e hanno consigliato vivamente agli amministratori di non esporre l’interfaccia di gestione BIG-IP a Internet.
“Siamo stati in contatto con SANS e stiamo indagando sul problema. Se i clienti non l’hanno già fatto, li invitiamo ad aggiornare a una versione stabile di BIG-IP o ad implementare una delle mitigazioni descritte nell’avviso di sicurezza. Consigliamo vivamente che i clienti non compromettano mai la loro BIG-IP Management Interface (TMUI) per l’Internet pubblica e per garantire che siano in atto controlli appropriati per limitare l’accesso.” – F5
Tuttavia, è importante notare che Beaumont ha scoperto che gli attacchi influiscono anche sui dispositivi su porte non amministrative se sono configurati in modo errato.
Per le persone colpite da attacchi ai loro dispositivi BIG-IP, F5 dice a BleepingComputer che il loro Security Incident Response Team è disponibile 24 ore al giorno, sette giorni alla settimana e può essere contattato al numero (888) 882-7535, (800) 11-275 -435 o in linea.
Per gli amministratori F5 BIG-IP preoccupati che i loro dispositivi siano già stati violati, lo è il fondatore di Sandfly Security Craig Rowland Invia le licenze di prova Possono usarlo per controllare il loro dispositivo.
Aggiornamento 10/5/22: Conferma aggiunta da Kevin Beaumont.
“Comunicatore. Ninja web hardcore. Amante estremo dei social media. Analista. Drogato di alcol.”
