黑客正在利用10.8分的服务器漏洞,满分为10.8

2021-03-20 08:35:10

在发展安全优势担心,攻击者正在积极定位另一组关键服务器漏洞,使公司和政府开放到严重的网络侵入。

此时间的漏洞是在Big-IP中,由西雅图的F5网络销售的一系列服务器设备。客户使用Big-IP服务器来管理进出大型网络的流量。任务包括负载平衡,DDO缓解和Web应用程序安全性。

上周,F5披露和修补的临界大型漏洞,允许黑客获得完全控制服务器的控制。尽管10分中的严重程度为9.8,但安全缺陷通过一周前一周的Exchange Server在Exchange Server中披露和修补的不同一套不同的关键漏洞。在微软的几天内,在紧急更新的紧急更新中,美国中的数以万计的交换服务器受到损害。当安全研究人员不忙于参加展开的交换群众妥协时,其中许多人警告说,在F5漏洞也在攻击之前只是时间问题。现在,那天已经到来了。

安全公司NCC集团的研究人员星期五表示,他们“看到全连锁开发”的CVE-2021-22986,一个漏洞,允许远程攻击者没有密码或其他凭据在易受攻击的大型设备上执行他们选择的命令。

“看到很多破碎的漏洞和失败的尝试后,我们现在在疯狂开发的情况下看到这种脆弱性的疯狂开发,截至今天早上,”NCC集团公司的主要安全顾问“和”博客“的共同作者写道。

看到大量破碎的漏洞和失败的尝试后,我们现在看到疯狂开发的成功,因为今天早上https://t.co/sqf55ofkzi

- Rich Warren(@buffaloverflow)3月19日,2021年3月19日

在博客文章中,NCC组发布了一个屏幕截图,显示了可以成功窃取经过身份验证的会话令牌的屏幕截图,这是一种浏览器cookie,允许管理员使用基于Web的编程接口来远程控制大型IP硬件。

“攻击者正在不同地区击中多个蜜罐,表明没有特定的目标,"沃伦在电子邮件中写道。 "它们更有可能是它们'喷洒'在互联网上尝试,希望他们能够在组织有机会修补它之前利用漏洞。"

他说,早些时候尝试使用来自公开可用的有限信息的不完整的漏洞。

与此同时,安全公司Palo Alto网络表示CVE-2021-22986是由感染的设备所针对的源Mirai恶意软件的设备。 Tweet表示,该变体是“尝试利用”漏洞,但如果尝试成功,则尚不清楚。

我们现在从HTTPS://t.co/zdtvwtdylq试图利用CVE-2021-22986,在F5 Big-IP&amp中的未经身份验证的RCE中观察Mirai变体; Big-ilq产品,CVE-2020-28188。 IOC用于新活动可用:https://t.co/bc0iyseaek pic.twitter.com/zsuqxq60xo

- 单元42(@ Unit42_Interel)2021年3月19日

从以下主机检测到的机会大规模扫描活动检查F5 Icontrol REST端点容易受到远程命令执行(CVE-2021-22986)。 112.97.56.78(🇨🇳)13.70.46.69(🇭🇰)115.236.5.58(🇨🇳)供应商咨询:https://t.co/mszmxetctn #threatintel

- Bad Packets(@bad_packets)3月19日,2021年

CVE-2021-22986只是上周披露和修补的几个关键大型漏洞F5中的几种。部分是因为漏洞需要利用的技能有限。但更重要的是,一旦攻击者控制了一个大型IP服务器,它们就可以使用它的安全外围内部或多或少。这意味着攻击者可以快速访问网络的其他敏感部分。

好像Admins没有足够的参加,修补易受攻击的Big-IP服务器并寻找漏洞应该是一个首要任务。 NCC集团在上面的链接中提供了妥协指标,而Palo Alto网络在这里有IOC。

更新:此帖子之后,NCC集团'富华的沃伦回复了我之前发送的问题。这里的部分Q& A:

什么"看到全连锁剥削"意思是? NCC小组以前看到了什么,以及&#34如何;全连锁剥削"更改?

我们的意思是,以前,我们看到攻击者试图以一种无法工作的方式滥用SSRF漏洞,因为利用的重要部分不是公众知识,因此利润将失败。现在,攻击者已经想出了使用SSRF绕过身份验证所需的完整细节并获取身份验证令牌。然后可以使用这些身份验证令牌远程执行命令。到目前为止,我们已经看到攻击者a)获取身份验证令牌,b)执行命令转储凭据。我们没有看到任何像CVE-2020-5902一样丢弃的网壳。

您是否知道漏洞是否在妥协的生产服务器中取得成功?如果是的,攻击者正在开发攻击者?

目前我们可以' t评论同一攻击者是否对其他人成功' S服务器。 关于开发后活动,我们迄今为止只看到凭证倾倒。 我读取多个威胁团体正在利用漏洞。 你知道这是真的吗? 如果是这样,那里有多少不同的威胁演员? 我们' ve没有说过有多个攻击者。 事实上,虽然我们看到了不同IP的多重成功剥削尝试,但所有尝试都包含一些与其他尝试一致的特定标志,建议它'很可能是相同的底层利用。