黑客积极利用高度严重的网络漏洞进行攻击

2020-07-26 00:32:48

黑客正在积极利用两个不相关的高度严重漏洞,这两个漏洞允许未经身份验证的访问,甚至完全接管财富500强公司和政府组织运营的网络。

最严重的攻击针对的是F5的Big-IP高级传递控制器中的一个严重漏洞,该设备通常放置在外围防火墙和Web应用程序之间,以处理负载平衡和其他任务。F5在三周前修补了该漏洞,使得未经验证的攻击者能够远程运行他们选择的命令或代码。然后,攻击者可以利用他们对该设备的控制来劫持它所连接的内部网络。

位于网络如此敏感部分的设备中存在远程代码执行漏洞,这使得该漏洞的最高严重程度等级为10。在F5于6月30日发布补丁后,安全从业人员立即预测,该漏洞(跟踪名称为CVE-2020-5902)将被用于攻击任何未快速安装更新的易受攻击的网络。周五,美国网络安全和基础设施安全局(CISA)发布了一份咨询,证明了这些警告具有先见之明。

“CISA已经在恶意网络威胁行为者利用CVE-2020-5902-BIG-IP流量管理用户界面(TMUI)中的一个RCE漏洞-控制受害者系统的美国政府和商业实体进行了事件响应,”该咨询称。

在F5发布针对此漏洞的修补程序后的几天内,CISA观察到了扫描和侦察,并确认了危害。早在2020年7月6日,CISA就发现了跨联邦部门和机构存在此漏洞的广泛扫描活动-截至本警报发布时,此活动目前正在进行。

CISA一直在与多个部门的多个实体合作,调查与此漏洞相关的潜在危害。中钢协已确认两项妥协,并在继续调查。CISA将使用任何其他可操作的信息更新此警报。

攻击者正在利用在思科销售的两个网络产品中发现的第二个漏洞。跟踪编号为CVE-2020-3452的路径遍历漏洞存在于该公司的自适应安全设备和火力威胁防御系统中。它允许未经验证的人远程查看敏感文件,这些文件可能会泄露WebVPN配置、书签、Web Cookie、部分Web内容和HTTP URL等。思科周三发布了补丁。一天后,它更新了咨询意见。

更新称:“思科已意识到公开漏洞代码的可用性,并主动利用本公告中描述的漏洞进行攻击。”“思科鼓励产品受影响的客户尽快升级到固定版本。”

在思科发布修补程序后,概念验证代码几乎立即开始流传,引发了攻击者和防御者之间的竞赛。

这些漏洞-特别是影响F5客户的漏洞-的影响是严重的。这些狂野的攻击提供了充分的理由来占据任何IT管理员的周末,他们还没有修补他们易受攻击的系统。