[ad_1]
Uma vulnerabilidade F5 BIG-IP recentemente divulgada foi usada em ataques destrutivos, tentando limpar o sistema de arquivos de um dispositivo e tornar o servidor inutilizável.
Na semana passada, a F5 divulgou uma vulnerabilidade rastreada como CVE-2022-1388 que permite que invasores remotos executem comandos em dispositivos de rede BIG-IP como “raiz” sem autenticação. Devido à natureza crítica do bug, a F5 pediu aos administradores que apliquem as atualizações o mais rápido possível.
Alguns dias depois, os pesquisadores começaram a postar exploits no Twitter e no GitHub, e os agentes de ameaças logo os usaram em ataques pela Internet.
Embora a maioria dos ataques tenha sido usada para lançar webshells para acesso inicial à rede, roubar chaves SSH e enumerar informações do sistema, o SANS Internet Storm Center viu dois ataques direcionados a dispositivos BIG-IP de uma maneira muito mais nefasta.
SANS disse à BleepingComputer que seus honeypots viram dois ataques vindos do endereço IP 177.54.127.[.]111 executando o comando ‘rm -rf /*’ no dispositivo BIG-IP de destino.
Este comando tentará excluir todos os arquivos no sistema de arquivos Linux dos dispositivos BIG-IP quando executado.
Como a exploração dá aos invasores privilégios de root nos sistemas operacionais Linux que alimentam os dispositivos BIG-IP, o comando rm -rf /* poderá remover quase todos os arquivos, incluindo os arquivos de configuração necessários para que o dispositivo funcione corretamente.
Felizmente, esses ataques destrutivos não são generalizados e os agentes de ameaças buscam lucrar com a violação de dispositivos em vez de causar danos.
As empresas de inteligência de ameaças de segurança cibernética Bad Packets e GreyNoise disseram à BleepingComputer que não viram nenhum ataque destrutivo em seus honeypots.
Investigador GreyNoise kimber Eles disseram que veem principalmente exploits lançando webshells, extraindo configurações ou executando comandos para criar contas de administrador em dispositivos.
Embora os ataques destrutivos vistos pelo SANS possam ser raros, o fato de estarem acontecendo deve ser todo o incentivo que um administrador precisa para atualizar seus dispositivos para os níveis de patch mais recentes.
Quando contatamos a F5 sobre esses ataques destrutivos, eles disseram à BleepingComputer que estão em contato com a SANS e aconselham fortemente os administradores a não exporem a interface de gerenciamento BIG-IP à Internet.
“Entramos em contato com o SANS e estamos investigando o problema. Se os clientes ainda não o fizeram, recomendamos que atualizem para uma versão fixa do BIG-IP ou implementem uma das mitigações detalhadas no aviso de segurança. Recomendamos fortemente os clientes nunca expõem sua interface de gerenciamento BIG-IP (TMUI) à Internet pública e garantem que os controles apropriados estejam em vigor para limitar o acesso.” – F5
No entanto, é importante observar que o pesquisador de segurança Kevin Beaumont descobriu que os ataques também afetam dispositivos em portas que não são de gerenciamento se estiverem configurados incorretamente.
Para aqueles afetados por ataques em seus dispositivos BIG-IP, F5 disse à BleepingComputer que sua Equipe de Resposta a Incidentes de Segurança está disponível 24 horas por dia, sete dias por semana, e pode ser contatada em (888) 882. -7535, (800) 11 -275-435, ou online.
Para os administradores do F5 BIG-IP preocupados com o fato de seus dispositivos já terem sido comprometidos, o fundador da Sandfly Security, Craig Rowland, está oferecendo licenças de teste que eles podem usar para verificar seus dispositivos.
[ad_2]
