Vulnerabilidade crítica F5 BIG-IP alvo de ataques destrutivos

0
84


Uma vulnerabilidade F5 BIG-IP recentemente divulgada foi usada em ataques destrutivos, tentando limpar o sistema de arquivos de um dispositivo e tornar o servidor inutilizável.

Na semana passada, a F5 divulgou uma vulnerabilidade rastreada como CVE-2022-1388 que permite que invasores remotos executem comandos em dispositivos de rede BIG-IP como “raiz” sem autenticação. Devido à natureza crítica do bug, a F5 pediu aos administradores que apliquem as atualizações o mais rápido possível.

Alguns dias depois, os pesquisadores começaram a postar exploits no Twitter e no GitHub, e os agentes de ameaças logo os usaram em ataques pela Internet.

Embora a maioria dos ataques tenha sido usada para lançar webshells para acesso inicial à rede, roubar chaves SSH e enumerar informações do sistema, o SANS Internet Storm Center viu dois ataques direcionados a dispositivos BIG-IP de uma maneira muito mais nefasta.

SANS disse à BleepingComputer que seus honeypots viram dois ataques vindos do endereço IP 177.54.127.[.]111 executando o comando ‘rm -rf /*’ no dispositivo BIG-IP de destino.

Tweet de SANS

Este comando tentará excluir todos os arquivos no sistema de arquivos Linux dos dispositivos BIG-IP quando executado.

Como a exploração dá aos invasores privilégios de root nos sistemas operacionais Linux que alimentam os dispositivos BIG-IP, o comando rm -rf /* poderá remover quase todos os arquivos, incluindo os arquivos de configuração necessários para que o dispositivo funcione corretamente.

Felizmente, esses ataques destrutivos não são generalizados e os agentes de ameaças buscam lucrar com a violação de dispositivos em vez de causar danos.

As empresas de inteligência de ameaças de segurança cibernética Bad Packets e GreyNoise disseram à BleepingComputer que não viram nenhum ataque destrutivo em seus honeypots.

Investigador GreyNoise kimber