La vulnerabilidad F5 BIG-IP expuesta recientemente se ha utilizado en ataques devastadores, en un intento de borrar el sistema de archivos de un dispositivo e inutilizar el servidor.

la semana pasada, F5 Detección Una vulnerabilidad rastreada como CVE-2022-1388 que permite a atacantes remotos ejecutar comandos en dispositivos de red BIG-IP como «raíz» sin autenticación. Debido a la naturaleza crítica del error, F5 instó a los administradores a aplicar las actualizaciones lo antes posible.

Unos días después, los investigadores comenzaron a publicar sus vulnerabilidades públicamente en Twitter y GitHub, con Los actores de amenazas los usan rápidamente en los ataques. En línea.

Si bien la mayoría de los ataques se utilizaron para lanzar shells web para el acceso inicial a la red, robar claves SSH y enumerar información del sistema, SANS Internet Storm Center detectó dos ataques dirigidos a dispositivos BIG-IP de una manera más nefasta.

SANS le dijo a BleepingComputer que su atracción tuvo dos ataques provenientes de la dirección IP 177.54.127[.]111 que ejecuta el comando «rm -rf /*» en el dispositivo BIG-IP de destino.

Este comando intentará borrar todos los archivos en el sistema de archivos de Linux de los dispositivos BIG-IP cuando se ejecute.

Dado que el exploit otorga a los atacantes privilegios de root en Los sistemas operativos Linux ejecutan dispositivos BIG-IPEl comando rm -rf /* podrá eliminar casi todos los archivos, incluidos los archivos de configuración necesarios para que el dispositivo funcione correctamente.

Después de que se publicó nuestra historia, el investigador de seguridad Kevin Beaumont confirmó que los dispositivos fueron eliminados esta noche.

«Puedo confirmar. El hardware del mundo real se está borrando esta noche y mucho del hardware de Shodan ha dejado de responder». chirrido Beaumont.

Afortunadamente, estos ataques devastadores no parecen estar generalizados, y la mayoría de los actores de amenazas buscan aprovechar los dispositivos de piratería en lugar de causar daños.

Compañías de Inteligencia de Amenazas de Seguridad Cibernética malos paquetes Y Ruido gris Le dijo a BleepingComputer que no vieron ningún ataque devastador en sus atracciones.

Investigador de Ruido Gris Kimber Dijeron que en su mayoría ven exploits que arrojan shells web, piratean configuraciones o ejecutan comandos para crear cuentas de administrador en las máquinas.

Si bien los devastadores ataques vistos por SANS pueden ser raros, el hecho de que sucedan debería ser todo el incentivo que un administrador necesita para actualizar sus dispositivos a los últimos niveles de parches.

Cuando nos comunicamos con F5 acerca de estos ataques devastadores, le dijeron a BleepingComputer que estaban en contacto con SANS y recomendaron encarecidamente a los administradores que no expusieran la interfaz de administración de BIG-IP a Internet.

«Hemos estado en contacto con SANS y estamos investigando el problema. Si los clientes aún no lo han hecho, les instamos a que actualicen a una versión estable de BIG-IP o implementen una de las mitigaciones detalladas en el aviso de seguridad. Recomendamos enfáticamente que los clientes nunca comprometan su interfaz de administración BIG-IP (TMUI) para la Internet pública y que garanticen que se implementen los controles apropiados para limitar el acceso». – F5

Sin embargo, es importante tener en cuenta que Beaumont descubrió que los ataques también afectan a los dispositivos en puertos no administrativos si están mal configurados.

Para aquellos afectados por ataques a sus dispositivos BIG-IP, F5 le dice a BleepingComputer que su Equipo de Respuesta a Incidentes de Seguridad está disponible las 24 horas del día, los siete días de la semana y puede ser contactado al (888) 882-7535, (800) 11-275 -435, o en línea.

Para los administradores de F5 BIG-IP preocupados porque sus dispositivos ya han sido pirateados, el fundador de Sandfly Security, Craig Rowland, está Enviar licencias de prueba Pueden usarlo para verificar su dispositivo.

Actualización 5/10/22: Confirmación añadida de Kevin Beaumont.