Kerentanan F5 BIG-IP kritikal yang disasarkan oleh serangan yang merosakkan

Kerentanan F5 BIG-IP yang didedahkan baru-baru ini telah digunakan dalam serangan yang merosakkan, cuba memadamkan sistem fail peranti dan menjadikan pelayan tidak boleh digunakan.

Minggu lepas, F5 didedahkan kelemahan yang dijejaki sebagai CVE-2022-1388 yang membolehkan penyerang jauh melaksanakan arahan pada peranti rangkaian BIG-IP sebagai ‘root’ tanpa pengesahan. Disebabkan sifat pepijat yang kritikal, F5 menggesa pentadbir untuk menggunakan kemas kini secepat mungkin.

Beberapa hari kemudian, penyelidik mula menerbitkan eksploitasi secara terbuka di Twitter dan GitHub, dengan pelakon ancaman tidak lama lagi menggunakan mereka dalam serangan merentasi Internet.

Walaupun kebanyakan serangan telah digunakan untuk menggugurkan cangkerang web untuk akses awal kepada rangkaian, mencuri kunci SSH dan menghitung maklumat sistem, Pusat Ribut Internet SANS melihat dua serangan yang menyasarkan peranti BIG-IP dengan cara yang lebih jahat.

SANS memberitahu BleepingComputer bahawa honeypot mereka melihat dua serangan datang dari alamat IP 177.54.127[.]111 yang melaksanakan perintah ‘rm -rf /*’ pada peranti BIG-IP yang disasarkan.

Tweet daripada SANS

Perintah ini akan cuba memadamkan semua fail pada sistem fail Linux peranti BIG-IP apabila dilaksanakan.

Memandangkan eksploitasi memberikan penyerang keistimewaan akar dalam Sistem pengendalian Linux menjanakan peranti BIG-IParahan rm -rf /* akan dapat memadam hampir setiap fail, termasuk fail konfigurasi yang diperlukan untuk peranti beroperasi dengan betul.

Selepas menerbitkan cerita kami, penyelidik keselamatan Kevin Beaumont mengesahkan bahawa peranti sedang dipadamkan petang ini.

“Boleh sahkan. Peranti dunia sebenar sedang dipadamkan petang ini, banyak di Shodan telah berhenti bertindak balas,” tweeted Beaumont.

Syukurlah, serangan pemusnah ini nampaknya tidak meluas, dengan kebanyakan pelakon ancaman ingin mendapat manfaat daripada melanggar peranti dan bukannya menyebabkan kerosakan.

Firma risikan ancaman keselamatan siber Paket Buruk dan GreyNoise memberitahu BleepingComputer bahawa mereka tidak melihat sebarang serangan yang merosakkan pada honeypot mereka.

Penyelidik GreyNoise kimber berkata mereka kebanyakannya melihat eksploitasi menjatuhkan cangkerang web, mengeksfiltrasi konfigurasi atau menjalankan arahan untuk membuat akaun pentadbir pada peranti.

Walaupun serangan pemusnah yang dilihat oleh SANS mungkin jarang berlaku, hakikat bahawa ia berlaku sepatutnya menjadi insentif yang diperlukan oleh pentadbir untuk mengemas kini peranti mereka kepada tahap tampung terkini.

Apabila kami menghubungi F5 mengenai serangan yang merosakkan ini, mereka memberitahu BleepingComputer bahawa mereka sedang berhubung dengan SANS dan menasihatkan pentadbir supaya tidak mendedahkan antara muka pengurusan BIG-IP kepada Internet.

“Kami telah berhubung dengan SANS dan sedang menyiasat isu itu. Jika pelanggan belum berbuat demikian, kami menggesa mereka untuk mengemas kini kepada versi BIG-IP tetap atau melaksanakan salah satu mitigasi yang diperincikan dalam nasihat keselamatan. Kami amat menasihati pelanggan tidak sekali-kali mendedahkan antara muka pengurusan BIG-IP (TMUI) mereka kepada internet awam dan untuk memastikan kawalan yang sesuai disediakan untuk mengehadkan akses.” – F5

Walau bagaimanapun, adalah penting untuk ambil perhatian bahawa Beaumont mendapati bahawa serangan juga menjejaskan peranti pada port bukan pengurusan jika ia salah konfigurasi.

Tweet Kevin Beaumont

Bagi mereka yang terjejas oleh serangan pada peranti BIG-IP mereka, F5 memberitahu BleepingComputer bahawa Pasukan Tindak Balas Insiden Keselamatan mereka tersedia 24 jam sehari, tujuh hari seminggu dan boleh dihubungi di (888) 882-7535, (800) 11- 275-435, atau dalam talian.

Bagi pentadbir F5 BIG-IP yang bimbang peranti mereka telah terjejas, pengasas Sandfly Security Craig Rowland menawarkan lesen ujian yang boleh mereka gunakan untuk menyemak peranti mereka.

Kemas kini 5/10/22: Ditambahkan pengesahan daripada Kevin Beaumont.



We would like to thank the author of this article for this awesome content

Kerentanan F5 BIG-IP kritikal yang disasarkan oleh serangan yang merosakkan


Discover our social media profiles as well as other pages that are related to them.https://paw6.info/related-pages/