黑客正试图从F5 BIG-IP设备窃取管理员密码
文章来源:zdnet
沃伦在今天早些时候的一次采访中告诉ZDNet,攻击本质上是恶意的,黑客正试图从被入侵的设备中窃取管理员密码。
摘要:BIG-IP和CVE-2020-5902
这些攻击针对的是B5-IP,这是由F5 Networks制造的多功能网络设备。可以将BIG-IP设备配置为充当流量整形系统,负载平衡器,防火墙,访问网关,速率限制器或SSL中间件。
这些设备是当今使用的一些最受欢迎的网络产品,它们被用来支撑周围一些最大的敏感网络。
BIG-IP设备用于政府网络,互联网服务提供商的网络,云计算数据中心内部,并且已在企业网络中广泛部署。
这些设备功能强大且受欢迎,以至于F5 在其网站上声称《财富》 50强公司中的50家公司中有48家依赖BIG-IP系统。
在星期三,F5 Networks发布了补丁,并发布了有关BIG-IP设备中“远程代码执行”漏洞的安全公告。
F5表示,该漏洞的跟踪记录为CVE-2020-5902,可以使攻击者完全控制可在Internet上访问的未修补系统。
该漏洞被认为非常危险,以致获得10级严重性评分,这是CVSSv3严重性等级的最高分数。此分数表示该漏洞易于利用,自动化,可以在Internet上使用,并且不需要有效的凭据或高级编码技能即可利用。
三天后开始尝试开采
网络安全社区预计,一旦黑客弄清楚如何利用此漏洞,便会对其进行主动攻击。
自周三公开以来,网络安全专家一直试图立即发出有关紧急修补此漏洞的警报,因为任何成功的攻击都将使威胁行为者能够完全访问一些世界上最重要的IT网络。
美国网络司令部(US Cyber Command)帮助他们提高了对这一问题的关注度,在7月4日之前几个小时的星期五晚上,美国系统司令部系统管理员花时间修补BIG-IP设备,也担心同样的事情。
根据沃伦(Warren)的说法,这些攻击是在美国网络司令部推文发布几小时后开始的。目前正在操作BIG-IP蜜罐(看起来像BIG-IP设备的服务器)的沃伦说,他检测到来自五个不同IP地址的恶意攻击。
在与ZDNet共享的日志中,沃伦指出了这些攻击的来源,并确认它们是恶意的。
Warren今天早些时候告诉ZDNet:“该漏洞使您可以使用遍历序列来调用.JSP文件。”
“反过来,这又允许您(滥用)使用经过身份验证的.JSP文件的功能来执行诸如读取文件或最终执行代码之类的操作。
“到目前为止,我们已经看到,攻击者从蜜罐中读取了各种不同的文件,并通过内置的.JSP文件执行命令。有了这些文件,他们就可以转出加密的管理员密码,设置等,沃伦说。
PULSE SECURE,CITRIX和现在的BIG-IP
BIG-IP漏洞是国家黑客团体和勒索软件团伙已经利用了将近一年的一种安全漏洞,但是在其他产品中却是如此。
自8月以来,黑客组织一直在利用Pulse Secure VPN和Citrix网络网关中的类似RCE错误来在企业网络上立足,然后植入后门,窃取敏感文件或安装勒索软件。
尤其是Pulse Secure和Citrix错误已成为勒索软件帮派的头等大事。在许多情况下,他们甚至没有立即利用这些错误。他们种植了后门,然后在几天,几周或几个月后回来,以利用其获利能力。
众所周知,REvil,Maze或Netwalker等勒索软件团伙严重依赖这些类型的漏洞来攻击一些世界上最大的公司,并且安全专家表示,BIG-IP漏洞只是会助长其下一波浪潮的错误类型攻击。
推荐阅读
*美国土安全部警告警方 大疆无人机可能面临数据“被截取泄露”风险