Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Aanvallers maken inbreuk op F5 BIG-IP-apparaten, controleer of je bent geraakt

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 853

Aanvallers proberen actief CVE-2020-5902 te exploiteren, een kritieke kwetsbaarheid die van invloed is F5 Networks'BIG-IP multifunctionele netwerkapparaten, om mineermachines, IoT-malware te installeren of om beheerdersreferenties van gehackte apparaten te verwijderen.

gebruik CVE-2020-5902

Over CVE-2020-5902

CVE-2020-5902 is een kritieke kwetsbaarheid voor het uitvoeren van externe code in de configuratie-interface (ook bekend als Traffic Management User Interface - TMUI) van BIG-IP-apparaten die worden gebruikt door enkele van 's werelds grootste bedrijven.

Het werd samen met opgegraven CVE-2020-5903, een minder kritieke XSS-kwetsbaarheid die het mogelijk maakt om kwaadaardige JavaScript-code uit te voeren als ingelogde gebruiker op BIG-IP-apparaten, door onderzoeker van Positive Technologies Mikhail Klyuchnikov.

Om CVE-2020-5902 te kunnen gebruiken, moet een aanvaller een speciaal vervaardigde HTTP-aanvraag naar de server sturen die het hulpprogramma Traffic Management User Interface (TMUI) host voor BIG-IP-configuratie.

“Door misbruik te maken van dit beveiligingslek, zou een externe aanvaller met toegang tot het BIG-IP-configuratieprogramma zonder toestemming externe code kunnen uitvoeren. De aanvaller kan bestanden maken of verwijderen, services uitschakelen, informatie onderscheppen, willekeurige systeemopdrachten en Java-code uitvoeren, het systeem volledig compromitteren en verdere doelen nastreven, zoals het interne netwerk ”, aldus de onderzoeker. bekend.

“RCE is in dit geval het gevolg van beveiligingsfouten in meerdere componenten, zoals een die misbruik van directory-traverse mogelijk maakt. Dit is vooral gevaarlijk voor bedrijven waarvan de F5 BIG-IP-webinterface wordt vermeld in zoekmachines zoals Shodan. Gelukkig maken de meeste bedrijven die het product gebruiken geen toegang tot de interface via internet mogelijk. ”

Shodan shows op het internet zijn ongeveer 8,500 kwetsbare apparaten beschikbaar, waarvan bijna 40% in de Verenigde Staten

Actieve uitbuiting

F5 Networks publiceerde afgelopen woensdag beveiligingsadviezen voor beide fouten, net zoals de VS uitkeken naar het lange Independence Day-weekend.

Zowel het bedrijf als het Amerikaanse Cyber ​​Command aangedrongen beheerders op vrijdag om te controleren of hun F5 BIG-IP-webinterfaces zichtbaar waren op internet en om de aangeboden patches te implementeren voordat het weekend begint.

Destijds was er geen openbare exploit beschikbaar voor CVE-2020-5902, maar al snel werd Beschikbaar. Een Metasploit-module is ook in de maak.

Eindelijk opportunistische massascanning voor kwetsbare apparaten gestart tijdens het weekenden exploits werden gebruikt door verschillende aanvallers:

Wat te doen?

Volgens F5 Networks worden BIG-IP-netwerkapparaten door 48 van de Fortune 50-bedrijven gebruikt als load balancers voor servers, controllers voor applicatielevering, toegangspoorten enz. Ze worden gebruikt door ISP's en overheden.

Zoals eerder vermeld, is F5 Networks uitgebracht vaste softwareversies vorige week evenals nuttig risicobeperkend advies als patchen op dit moment niet mogelijk is.

Voor organisaties die er niet aan toe zijn gekomen, biedt Microsoft cybersecurity pro Kevin Beaumont het volgende advies:

SANS ISC Dider Stevens heeft ook gezorgd nuttige links en advies.

Source: https://www.helpnetsecurity.com/2020/07/06/exploit-cve-2020-5902/

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.