黑客正試圖從 F5 BIG-IP 設備竊取管理密碼

在F5 BIG-IP mega-漏洞被公開三天之后，威脅者已經開始利用它了。

我們了解到，黑客已經開始攻擊F5 BIG-IP網絡設備。NCC集團的安全研究員Rich Warren發現了一些攻擊。

在一次采訪中，Warren說，這些攻擊本質上是惡意的，黑客試圖從被黑的設備中竊取管理員密碼。

概要: BIG-IP和CVE-2020-5902

這些攻擊的目標是F5 Networks公司生產的一種多用途網絡設備BIG-IP。BIG-IP設備可以配置為流量調整系統、負載均衡器、防火墻、訪問網關、速率限制器或SSL中間件來進行工作。

這些設備是目前使用的最流行的網絡產品之一，它們被用于支持一些最大的敏感網絡。

BIG-IP設備用于政府網絡、互聯網服務提供商的網絡、云計算數據中心內部，并廣泛部署在企業網絡中。

這些設備功能強大、廣受歡迎，以至于F5在其網站上宣稱，《財富》50強企業中，有48家都在使用BIG-IP系統。

F5 Networks不僅發布了補丁，還發布了關于BIG-IP設備“遠程代碼執行”漏洞的安全建議。

F5說，這個被追蹤到的漏洞名為CVE-2020-5902，可能會讓攻擊者完全控制未打補丁的系統，此系統可以通過互聯網訪問。

該漏洞被認為是危險的，以致于它收到了10分的嚴重評分，這是CVSSv3嚴重級別的最大值。這個分數意味著這個漏洞很容易被利用、自動化，它可以在互聯網上使用，而且不需要有效的證書或高級的編碼技能就可以利用。

漏洞公布三天后開始被利用

網絡安全社區預計，一旦黑客找到利用漏洞的方法，這個漏洞就會受到主動攻擊。

自這一漏洞公開以來，網絡安全專家一直嘗試發出警報，提醒人們需要緊急修補這一漏洞，因為任何成功的攻擊都將使威脅者能夠完全訪問世界上一些最重要的 IT 網絡。

美國網絡司令部要求系統管理員花時間給BIG-IP設備打補丁，他們也擔心同樣的事情發生。

Warren表示，這些攻擊是在美國網絡司令部發布推文之后開始的。Warren說，他偵測到來自五個不同IP地址的惡意攻擊。他目前運營的是BIG-IP honeypot服務器，這些服務器被設計得像BIG-IP設備。

Warren指出了這些攻擊的來源，并確認它們是惡意的。
“這個漏洞允許您使用遍歷序列調用.jsp文件。”Warren說。反過來又允許您使用通過身份驗證的.jsp文件的功能來執行諸如讀取文件或最終執行代碼之類的操作。

到目前為止，我們看到的是攻擊者從honeypots讀取各種不同的文件，并通過內置的.jsp文件執行命令。有了這個，他們能夠轉儲加密的管理密碼、設置等等。”Warren說。

pulse安全、citrix和BIG-IP

BIG-IP漏洞是一種安全漏洞，國家黑客組織和勒索軟件團伙已經利用這種漏洞將近一年了——不過是在其他產品上。

黑客組織一直在利用Pulse Secure vpn和Citrix網絡網關中類似的RCE漏洞，在企業網絡中站穩腳跟，然后植入后門、竊取敏感文件或安裝勒索軟件。

Pulse安全和Citrix漏洞一直是勒索軟件團伙的主要業務。在很多情況下，他們甚至沒有立即利用這些漏洞。他們設置后門，然后幾天、幾周或幾個月后再回來，把他們的訪問權變成可訪問。

據悉，勒索軟件團伙如REvil、Maze或Netwalker嚴重依賴這類漏洞來攻擊一些世界上最大的公司。安全專家說，BIG-IP漏洞正是會推動他們下一波攻擊的這類漏洞。