黑客開始利用BIG-IP漏洞“刪庫”

最近披露的F5 BIG-IP高危漏洞（CVSS評分高達9.8分）已被用于破壞性攻擊，攻擊者試圖擦除設備的文件系統并使服務器無法使用。

上周，F5披露了一個編號CVE-2022-1388的高危漏洞，該漏洞允許遠程攻擊者以“root”身份在BIG-IP網絡設備上執行命令而無需身份驗證。由于該漏洞的嚴重性，F5敦促系統管理員盡快應用更新。

幾天后，研究人員開始在Twitter和GitHub上公開發布漏洞利用程序，全球性攻擊已經開始。

雖然大多數漏洞利用會丟棄webshell以對網絡進行初始訪問、竊取SSH密鑰和枚舉系統信息，但SANS Internet Storm Center發現了兩次以更邪惡的方式針對BIG-IP設備的攻擊。

SANS的研究者在蜜罐看到了來自IP地址177.54.127.111的兩次攻擊，這些攻擊在目標BIG-IP設備上執行了“rm-rf/*”命令。

此命令在執行時將嘗試擦除BIG-IP設備Linux文件系統上的所有文件。

由于該漏洞在為BIG-IP設備供電的Linux操作系統中為攻擊者提供了root權限，因此rm-rf/*命令將能夠刪除幾乎所有文件，包括設備正常運行所需的配置文件。

安全研究員Kevin Beaumont證實，已經有設備正在被擦除。

“可以確認。現實世界的設備今晚正在被刪除，Shodan上的很多設備都停止了響應。”博蒙特在推特上寫道。

值得慶幸的是，這些破壞性攻擊似乎并不普遍，大多數威脅參與者希望從破壞設備中受益，而不是造成損害。

雖然SANS看到的“刪庫”破壞性攻擊可能很少見，但此類攻擊的嚴重性已經敲響警鐘，系統管理員需要以最快的速度將設備更新到最新的補丁版本。

（來源：@GoUpSec）