CISA预警：攻击者正积极利用F5 BIG-IP严重漏洞发起攻击

美国网络安全和基础结构安全局（CISA）发出警报，指出攻击者正在积极利用未认证的远程代码执行（RCE）CVE-2020-5902漏洞，该漏洞会影响F5 Big-IP ADC设备。该警报包括其他缓解措施和检测措施，以确定系统是否已受到威胁，并包括在利用此漏洞的攻击后恢复信息。

CISA希望看到利用未打补丁的F5 BIG-IP设备的持续攻击，并强烈敦促用户和管理员将其软件升级到固定版本。CISA还建议管理员部署此警报中包含的签名，以帮助他们确定系统是否受到威胁。” CISA发布的警报。“此警报还为受害组织提供了其他检测措施和缓解措施，以帮助从CVE-2020-5902造成的攻击中恢复。CISA鼓励管理员始终注意利用的后果，并使用此警报中的建议来帮助保护其组织的系统免受攻击。”

6月初，F5 Networks的研究人员解决了CVE-2020-5902漏洞，该漏洞位于BIG-IP产品的流量管理用户界面（TMUI）的未公开页面中。BIG-IP产品是一种应用程序交付控制器（ADC），供政府机构和包括银行，服务提供商和Facebook，Microsoft和Oracle等IT巨头在内的主要企业使用。F5 Networks 表示 ，BIG-IP设备已在《财富》 50强名单中的48家公司的网络上使用。

漏洞披露后，美国网络司令部立即在Twitter上发布了一条消息，敦促使用F5产品的组织立即修补其安装。攻击者可能利用此漏洞来访问TMUI组件，以执行任意系统命令，禁用服务，执行任意Java代码以及创建或删除文件，并有可能接管BIG-IP设备。

在 CVE-2020-5902 漏洞获得了CVSS评分为10，这意味着，是很容易被利用。通过向托管用于BIG-IP配置的流量管理用户界面（TMUI）实用程序的服务器发送特制的HTTP请求，可以利用此问题。在公开披露该漏洞之后，专业人士立即发布了一些概念验证（PoC）漏洞，其中一些非常易于使用。

F5 Networks BIG-IP产品中的漏洞披露后几天，威胁行动者就开始在野外攻击中利用它。威胁参与者利用CVE-2020-5902漏洞获取密码，创建Web Shell并感染各种恶意软件的系统。据Bad Packets专家称，黑客正在扫描Internet，以试图利用此漏洞。许多目标系统属于政府机构，医疗保健提供者，教育组织和金融机构。

F5发布了安全更新程序来解决此问题，并提供了一些缓解措施，这些措施应防止受到利用。来自Critical Start的安全研究人员Rich Mirch和Chase Dardaman 为F5提出的缓解措施之一设计了一种绕过方法。来自CISA的专家已经观察到扫描和侦察，当然，他们还确认了一些妥协，在F5的补丁发布后的几天内就修复了该漏洞。“早在2020年7月6日，CISA就已经在联邦部门和机构中进行了广泛的扫描活动，以查找是否存在此漏洞-自本警报发布之日起，此活动便已开始。”

CISA当前正在几个实体的支持下研究多个领域的潜在妥协，并确认了两个妥协。在调查CVE-2020-5902造成的潜在危害时，CISA能够确认针对两个目标的成功攻击。它建议管理员使用F5的 CVE-2020-5902 IoC检测工具 来检测其基础架构中的潜在危害。在组织为减轻利用CVE-2020-5902漏洞的攻击而受到的威胁的建议列表下方：

• 隔离或使可能受影响的系统脱机

• 收集和查看工件，例如正在运行的进程/服务，异常身份验证和最近的网络连接

• 部署CISA创建的Snort签名以检测恶意活动（在“检测方法”下的警报中可用）

如果组织发现CVE-2020-5902被利用的证据，请敦促他们对受感染的系统实施以下恢复措施：

• 重新映像受感染的主机

•设置 新的帐户凭据

• 尽可能最大程度地限制对管理界面的访问

• 实施网络分段

该机构总结说：“ CISA希望利用未打补丁的F5 BIG-IP设备继续遭受攻击，并强烈敦促用户和管理员将其软件升级到固定版本。CISA还建议管理员部署此警报中包含的签名，以帮助他们确定系统是否受到威胁。”

信源：bleepingcomputer

声明：本文来自聚锋实验室，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。