Kritische F5 BIG-IP-Schwachstelle, die Ziel zerstörerischer Angriffe ist

Eine kürzlich bekannt gewordene F5 BIG-IP-Schwachstelle wurde für zerstörerische Angriffe verwendet, bei denen versucht wurde, das Dateisystem eines Geräts zu löschen und den Server unbrauchbar zu machen.

Letzte Woche, F5 offengelegt eine als CVE-2022-1388 verfolgte Schwachstelle, die es entfernten Angreifern ermöglicht, Befehle auf BIG-IP-Netzwerkgeräten als „Root“ ohne Authentifizierung auszuführen. Aufgrund der kritischen Natur des Fehlers forderte F5 die Administratoren auf, Updates so schnell wie möglich anzuwenden.

Einige Tage später begannen die Forscher mit der öffentlichen Veröffentlichung von Exploits auf Twitter und GitHub Bedrohungsakteure nutzen sie bald bei Angriffen über das Internet.

Während die meisten Angriffe verwendet wurden, um Webshells für den anfänglichen Zugriff auf Netzwerke zu löschen, SSH-Schlüssel zu stehlen und Systeminformationen aufzuzählen, sah SANS Internet Storm Center zwei Angriffe, die auf viel schändlichere Weise auf BIG-IP-Geräte abzielten.

SANS teilte BleepingComputer mit, dass ihre Honeypots zwei Angriffe von der IP-Adresse 177.54.127 aus gesehen haben[.]111, der den Befehl „rm -rf / *“ auf dem BIG-IP-Zielgerät ausführt.

Tweet von SANS

Dieser Befehl versucht, alle Dateien im Linux-Dateisystem der BIG-IP-Geräte zu löschen, wenn er ausgeführt wird.

Da der Exploit Angreifern Root-Rechte in der Linux-Betriebssysteme für BIG-IP-Gerätekann der Befehl rm -rf / * fast jede Datei löschen, einschließlich Konfigurationsdateien, die für den ordnungsgemäßen Betrieb des Geräts erforderlich sind.

Nach der Veröffentlichung unserer Geschichte bestätigte der Sicherheitsforscher Kevin Beaumont, dass heute Abend Geräte gelöscht wurden.

„Kann ich bestätigen. Geräte aus der realen Welt werden heute Abend gelöscht, viele auf Shodan haben aufgehört zu reagieren.“ getwittert Beaumont.

Glücklicherweise scheinen diese destruktiven Angriffe nicht weit verbreitet zu sein, da die meisten Bedrohungsakteure eher davon profitieren möchten, die Geräte zu verletzen, als Schaden zu verursachen.

Cybersecurity Threat Intelligence-Unternehmen Schlechte Pakete und GreyNoise sagte BleepingComputer, dass sie keine zerstörerischen Angriffe auf ihre Honeypots gesehen hätten.

GreyNoise-Forscher Kimber sagten, dass sie meistens sehen, wie die Exploits Webshells löschen, Konfigurationen exfiltrieren oder Befehle ausführen, um Administratorkonten auf den Geräten zu erstellen.

Während die von SANS beobachteten zerstörerischen Angriffe selten sind, sollte die Tatsache, dass sie stattfinden, der einzige Anreiz für einen Administrator sein, seine Geräte auf die neuesten Patch-Level zu aktualisieren.

Als wir F5 wegen dieser zerstörerischen Angriffe kontaktierten, teilten sie BleepingComputer mit, dass sie mit SANS in Kontakt stehen und Administratoren dringend davon abraten, die BIG-IP-Verwaltungsschnittstelle dem Internet auszusetzen.

„Wir haben Kontakt mit SANS aufgenommen und untersuchen das Problem. Falls Kunden dies noch nicht getan haben, empfehlen wir ihnen dringend, auf eine feste Version von BIG-IP zu aktualisieren oder eine der in der Sicherheitsempfehlung beschriebenen Maßnahmen zu implementieren. Wir raten dringend Kunden dürfen ihre BIG-IP-Verwaltungsschnittstelle (TMUI) niemals dem öffentlichen Internet aussetzen und sicherstellen, dass geeignete Kontrollen vorhanden sind, um den Zugriff einzuschränken. – F5

Es ist jedoch wichtig anzumerken, dass Beaumont festgestellt hat, dass Angriffe auch Geräte an nicht verwalteten Ports betreffen, wenn sie falsch konfiguriert sind.

Kevin Beaumont-Tweet

Für diejenigen, die von Angriffen auf ihre BIG-IP-Geräte betroffen sind, teilte F5 BleepingComputer mit, dass ihr Security Incident Response Team 24 Stunden am Tag, sieben Tage die Woche verfügbar ist und unter (888) 882-7535, (800) 11- kontaktiert werden kann. 275-435 oder online.

Für betroffene F5 BIG-IP-Administratoren waren ihre Geräte bereits kompromittiert, Sandfly Security-Gründer Craig Rowland ist es Testlizenzen anbieten mit denen sie ihre Geräte überprüfen können.

Update 10.05.22: Bestätigung von Kevin Beaumont hinzugefügt.

Leave a Reply

Your email address will not be published.