Κρίσιμη ευπάθεια F5 BIG-IP που στοχεύεται από καταστροφικές επιθέσεις

Η ευπάθεια F5 BIG-IP που εκτέθηκε πρόσφατα έχει χρησιμοποιηθεί σε καταστροφικές επιθέσεις, σε μια προσπάθεια να σκουπίσει το σύστημα αρχείων μιας συσκευής και να καταστήσει τον διακομιστή άχρηστο.

Την προηγούμενη εβδομάδα, F5 ανίχνευση Ένα θέμα ευπάθειας που παρακολουθείται ως CVE-2022-1388 που επιτρέπει στους απομακρυσμένους εισβολείς να εκτελούν εντολές σε συσκευές δικτύου BIG-IP ως “root” χωρίς έλεγχο ταυτότητας. Λόγω της κρίσιμης φύσης του σφάλματος, η F5 προέτρεψε τους διαχειριστές να εφαρμόσουν ενημερώσεις όσο το δυνατόν γρηγορότερα.

Λίγες μέρες αργότερα, οι ερευνητές άρχισαν να δημοσιεύουν δημόσια τα τρωτά σημεία τους στο Twitter και στο GitHub, με Οι ηθοποιοί απειλών τα χρησιμοποιούν γρήγορα σε επιθέσεις Σε σύνδεση.

Ενώ οι περισσότερες επιθέσεις χρησιμοποιήθηκαν για την απόρριψη κελύφους ιστού για αρχική πρόσβαση στο δίκτυο, την κλοπή κλειδιών SSH και την απαρίθμηση πληροφοριών συστήματος, το SANS Internet Storm Center είδε δύο επιθέσεις που στόχευαν συσκευές BIG-IP με πιο κακόβουλο τρόπο.

Η SANS είπε στο BleepingComputer ότι η έλξη τους είχε δύο επιθέσεις που προέρχονταν από τη διεύθυνση IP 177.54.127[.]111 που εκτελεί την εντολή “rm -rf /*” στη συσκευή προορισμού BIG-IP.

Tweet από SANS

Αυτή η εντολή θα προσπαθήσει να διαγράψει όλα τα αρχεία στο σύστημα αρχείων Linux των συσκευών BIG-IP όταν εκτελεστεί.

Δεδομένου ότι το exploit δίνει στους εισβολείς δικαιώματα root Τα λειτουργικά συστήματα Linux τρέχουν συσκευές BIG-IPΗ εντολή rm -rf /* θα μπορεί να διαγράψει σχεδόν κάθε αρχείο, συμπεριλαμβανομένων των αρχείων διαμόρφωσης που απαιτούνται για τη σωστή λειτουργία της συσκευής.

Μετά τη δημοσίευση της ιστορίας μας, ο ερευνητής ασφαλείας Kevin Beaumont επιβεβαίωσε ότι οι συσκευές εξαφανίστηκαν σήμερα το απόγευμα.

READ  Τυχαίο: Το Nintendo Kart είναι στην τάση στα μέσα κοινωνικής δικτύωσης, μετά τους ισχυρισμούς ότι το Mario Kart 9 είναι «σε ενεργό ανάπτυξη»

“Μπορώ να επιβεβαιώσω. Το υλικό του πραγματικού κόσμου διαγράφεται σήμερα το απόγευμα και μεγάλο μέρος του υλικού του Shodan έχει σταματήσει να ανταποκρίνεται.” τερέτισμα Beaumont.

Ευτυχώς, αυτές οι καταστροφικές επιθέσεις δεν φαίνεται να είναι ευρέως διαδεδομένες, με τους περισσότερους παράγοντες απειλών να προσπαθούν να επωφεληθούν από συσκευές hacking αντί να προκαλέσουν βλάβη.

Εταιρείες πληροφοριών για τις απειλές στον κυβερνοχώρο κακές συσκευασίες Και GrayNoise Είπε στο BleepingComputer ότι δεν είδαν καμία καταστροφική επίθεση στα αξιοθέατα τους.

Ερευνητής GrayNoise Κίμπερ Είπαν ότι βλέπουν ως επί το πλείστον εκμεταλλεύσεις που ρίχνουν κελύφη ιστού, παραβιάζουν ρυθμίσεις παραμέτρων ή εκτελούν εντολές για τη δημιουργία λογαριασμών διαχειριστή σε μηχανήματα.

Αν και οι καταστροφικές επιθέσεις που παρατηρούνται από το SANS μπορεί να είναι σπάνιες, το γεγονός ότι συμβαίνουν θα πρέπει να είναι το μόνο κίνητρο που χρειάζεται ένας διαχειριστής για να ενημερώσει τις συσκευές του στα πιο πρόσφατα επίπεδα ενημέρωσης κώδικα.

Όταν επικοινωνήσαμε με την F5 σχετικά με αυτές τις καταστροφικές επιθέσεις, είπαν στο BleepingComputer ότι ήταν σε επαφή με το SANS και συμβούλευσαν έντονα τους διαχειριστές να μην εκθέσουν τη διεπαφή διαχείρισης BIG-IP στο Διαδίκτυο.

“Είμαστε σε επαφή με την SANS και διερευνούμε το ζήτημα. Εάν οι πελάτες δεν το έχουν κάνει ήδη, τους προτρέπουμε να ενημερώσουν σε μια σταθερή έκδοση του BIG-IP ή να εφαρμόσουν έναν από τους μετριασμούς που περιγράφονται στη συμβουλή ασφαλείας. Σας συμβουλεύουμε ανεπιφύλακτα ότι οι πελάτες δεν θέτουν ποτέ σε κίνδυνο τη διεπαφή διαχείρισης BIG-IP (TMUI) τους για το δημόσιο Διαδίκτυο και να διασφαλίσουν ότι υπάρχουν κατάλληλοι έλεγχοι για τον περιορισμό της πρόσβασης.» – F5

Ωστόσο, είναι σημαντικό να σημειωθεί ότι η Beaumont ανακάλυψε ότι οι επιθέσεις επηρεάζουν επίσης συσκευές σε μη διαχειριστικές θύρες, εάν δεν έχουν ρυθμιστεί σωστά.

READ  Το επόμενο δωρεάν παιχνίδι GOG είναι από τους κατασκευαστές του indie παιχνιδιού της χρονιάς, The Riftbreaker

Tweet ο Kevin Beaumont

Για όσους επηρεάζονται από επιθέσεις στις συσκευές BIG-IP τους, η F5 ενημερώνει την BleepingComputer ότι η Ομάδα Αντιμετώπισης Συμβάντος Ασφαλείας είναι διαθέσιμη 24 ώρες την ημέρα, επτά ημέρες την εβδομάδα και μπορεί να επικοινωνήσει μαζί τους στα (888) 882-7535, (800) 11-275 -435, ή διαδικτυακά.

Για τους διαχειριστές F5 BIG-IP που ανησυχούν ότι οι συσκευές τους έχουν ήδη χακαριστεί, ο ιδρυτής της Sandfly Security, Craig Rowland είναι Υποβολή αδειών δοκιμής Μπορούν να το χρησιμοποιήσουν για να ελέγξουν τη συσκευή τους.

Ενημέρωση 10/5/22: Προστέθηκε επιβεβαίωση από τον Kevin Beaumont.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.