美国网络安全和基础结构安全局(CISA)发出警报,指出攻击者正在积极利用未认证的远程代码执行(RCE)CVE-2020-5902漏洞,该漏洞会影响F5 Big-IP ADC设备。该警报包括其他缓解措施和检测措施,以确定系统是否已受到威胁,并包括在利用此漏洞的攻击后恢复信息。
CISA希望看到利用未打补丁的F5 BIG-IP设备的持续攻击,并强烈敦促用户和管理员将其软件升级到固定版本。CISA还建议管理员部署此警报中包含的签名,以帮助他们确定系统是否受到威胁。” CISA发布的警报。“此警报还为受害组织提供了其他检测措施和缓解措施,以帮助从CVE-2020-5902造成的攻击中恢复。CISA鼓励管理员始终注意利用的后果,并使用此警报中的建议来帮助保护其组织的系统免受攻击。”
6月初,F5 Networks的研究人员解决了CVE-2020-5902漏洞,该漏洞位于BIG-IP产品的流量管理用户界面(TMUI)的未公开页面中。BIG-IP产品是一种应用程序交付控制器(ADC),供政府机构和包括银行,服务提供商和Facebook,Microsoft和Oracle等IT巨头在内的主要企业使用。F5 Networks 表示 ,BIG-IP设备已在《财富》 50强名单中的48家公司的网络上使用。
漏洞披露后,美国网络司令部立即在Twitter上发布了一条消息,敦促使用F5产品的组织立即修补其安装。攻击者可能利用此漏洞来访问TMUI组件,以执行任意系统命令,禁用服务,执行任意Java代码以及创建或删除文件,并有可能接管BIG-IP设备。
在 CVE-2020-5902 漏洞获得了CVSS评分为10,这意味着,是很容易被利用。通过向托管用于BIG-IP配置的流量管理用户界面(TMUI)实用程序的服务器发送特制的HTTP请求,可以利用此问题。在公开披露该漏洞之后,专业人士立即发布了一些概念验证(PoC)漏洞,其中一些非常易于使用。
F5 Networks BIG-IP产品中的漏洞披露后几天,威胁行动者就开始在野外攻击中利用它。威胁参与者利用CVE-2020-5902漏洞获取密码,创建Web Shell并感染各种恶意软件的系统。据Bad Packets专家称,黑客正在扫描Internet,以试图利用此漏洞。许多目标系统属于政府机构,医疗保健提供者,教育组织和金融机构。
F5发布了安全更新程序来解决此问题,并提供了一些缓解措施,这些措施应防止受到利用。来自Critical Start的安全研究人员Rich Mirch和Chase Dardaman 为F5提出的缓解措施之一设计了一种绕过方法。来自CISA的专家已经观察到扫描和侦察,当然,他们还确认了一些妥协,在F5的补丁发布后的几天内就修复了该漏洞。“早在2020年7月6日,CISA就已经在联邦部门和机构中进行了广泛的扫描活动,以查找是否存在此漏洞-自本警报发布之日起,此活动便已开始。”
CISA当前正在几个实体的支持下研究多个领域的潜在妥协,并确认了两个妥协。在调查CVE-2020-5902造成的潜在危害时,CISA能够确认针对两个目标的成功攻击。它建议管理员使用F5的 CVE-2020-5902 IoC检测工具 来检测其基础架构中的潜在危害。在组织为减轻利用CVE-2020-5902漏洞的攻击而受到的威胁的建议列表下方:
• 隔离或使可能受影响的系统脱机
• 收集和查看工件,例如正在运行的进程/服务,异常身份验证和最近的网络连接
• 部署CISA创建的Snort签名以检测恶意活动(在“检测方法”下的警报中可用)
如果组织发现CVE-2020-5902被利用的证据,请敦促他们对受感染的系统实施以下恢复措施:
• 重新映像受感染的主机
•设置 新的帐户凭据
• 尽可能最大程度地限制对管理界面的访问
• 实施网络分段
该机构总结说:“ CISA希望利用未打补丁的F5 BIG-IP设备继续遭受攻击,并强烈敦促用户和管理员将其软件升级到固定版本。CISA还建议管理员部署此警报中包含的签名,以帮助他们确定系统是否受到威胁。”
信源:bleepingcomputer
声明:本文来自聚锋实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。