Aanvallers proberen actief CVE-2020-5902 te exploiteren, een kritieke kwetsbaarheid die van invloed is F5 Networks'BIG-IP multifunctionele netwerkapparaten, om mineermachines, IoT-malware te installeren of om beheerdersreferenties van gehackte apparaten te verwijderen.
Over CVE-2020-5902
CVE-2020-5902 is een kritieke kwetsbaarheid voor het uitvoeren van externe code in de configuratie-interface (ook bekend als Traffic Management User Interface - TMUI) van BIG-IP-apparaten die worden gebruikt door enkele van 's werelds grootste bedrijven.
Het werd samen met opgegraven CVE-2020-5903, een minder kritieke XSS-kwetsbaarheid die het mogelijk maakt om kwaadaardige JavaScript-code uit te voeren als ingelogde gebruiker op BIG-IP-apparaten, door onderzoeker van Positive Technologies Mikhail Klyuchnikov.
Om CVE-2020-5902 te kunnen gebruiken, moet een aanvaller een speciaal vervaardigde HTTP-aanvraag naar de server sturen die het hulpprogramma Traffic Management User Interface (TMUI) host voor BIG-IP-configuratie.
“Door misbruik te maken van dit beveiligingslek, zou een externe aanvaller met toegang tot het BIG-IP-configuratieprogramma zonder toestemming externe code kunnen uitvoeren. De aanvaller kan bestanden maken of verwijderen, services uitschakelen, informatie onderscheppen, willekeurige systeemopdrachten en Java-code uitvoeren, het systeem volledig compromitteren en verdere doelen nastreven, zoals het interne netwerk ”, aldus de onderzoeker. bekend.
“RCE is in dit geval het gevolg van beveiligingsfouten in meerdere componenten, zoals een die misbruik van directory-traverse mogelijk maakt. Dit is vooral gevaarlijk voor bedrijven waarvan de F5 BIG-IP-webinterface wordt vermeld in zoekmachines zoals Shodan. Gelukkig maken de meeste bedrijven die het product gebruiken geen toegang tot de interface via internet mogelijk. ”
Shodan shows op het internet zijn ongeveer 8,500 kwetsbare apparaten beschikbaar, waarvan bijna 40% in de Verenigde Staten
Actieve uitbuiting
F5 Networks publiceerde afgelopen woensdag beveiligingsadviezen voor beide fouten, net zoals de VS uitkeken naar het lange Independence Day-weekend.
Zowel het bedrijf als het Amerikaanse Cyber Command aangedrongen beheerders op vrijdag om te controleren of hun F5 BIG-IP-webinterfaces zichtbaar waren op internet en om de aangeboden patches te implementeren voordat het weekend begint.
Destijds was er geen openbare exploit beschikbaar voor CVE-2020-5902, maar al snel werd Beschikbaar. Een Metasploit-module is ook in de maak.
Eindelijk opportunistische massascanning voor kwetsbare apparaten gestart tijdens het weekenden exploits werden gebruikt door verschillende aanvallers:
Vanaf vanochtend zien we een stijging in RCE-pogingen tegen onze honeypots, met behulp van een combinatie van de openbare Metasploit-module of vergelijkbaar via Python. Ook een grote golf van aanvallen afkomstig van 🇨🇳 die terug pingen via:
Krul . .dnslog [.] cn
- Rich Warren (@buffaloverflow) 6 juli 2020
Wat te doen?
Volgens F5 Networks worden BIG-IP-netwerkapparaten door 48 van de Fortune 50-bedrijven gebruikt als load balancers voor servers, controllers voor applicatielevering, toegangspoorten enz. Ze worden gebruikt door ISP's en overheden.
Zoals eerder vermeld, is F5 Networks uitgebracht vaste softwareversies vorige week evenals nuttig risicobeperkend advies als patchen op dit moment niet mogelijk is.
Voor organisaties die er niet aan toe zijn gekomen, biedt Microsoft cybersecurity pro Kevin Beaumont het volgende advies:
Mensen schrapen dus op een geautomatiseerde manier geheimen (inloggegevens) van BIG-IP-boxen. Als je niet voor het weekend hebt gepatcht, denk ik dat je de credits moet rouleren en de logs na het patchen moet controleren als je weer aan het werk bent.
- Kevin Beaumont (@GossiTheDog) 5 juli 2020
SANS ISC Dider Stevens heeft ook gezorgd nuttige links en advies.
Source: https://www.helpnetsecurity.com/2020/07/06/exploit-cve-2020-5902/