Une vulnérabilité F5 BIG-IP récemment révélée a été utilisée dans des attaques destructrices, tentant d’effacer le système de fichiers d’un appareil et de rendre le serveur inutilisable.
La semaine dernière, F5 a révélé une vulnérabilité identifiée comme CVE-2022-1388 qui permet à des attaquants distants d’exécuter des commandes sur des périphériques réseau BIG-IP en tant que « root » sans authentification. En raison de la nature critique du bug, F5 a exhorté les administrateurs à appliquer les mises à jour dès que possible.
Quelques jours plus tard, les chercheurs ont commencé à publier publiquement des exploits sur Twitter et GitHub, les acteurs de la menace les utilisant bientôt dans des attaques sur Internet.
Alors que la plupart des attaques ont été utilisées pour déposer des webshells pour l’accès initial aux réseaux, voler des clés SSH et énumérer des informations système, SANS Internet Storm Center a vu deux attaques qui ciblaient les appareils BIG-IP d’une manière beaucoup plus néfaste.
SANS a déclaré à EZpublish-france.fr que leurs pots de miel ont vu deux attaques provenant de l’adresse IP 177.54.127[.]111 qui exécute la commande ‘rm -rf /*’ sur le périphérique BIG-IP ciblé.
Cette commande tentera d’effacer tous les fichiers du système de fichiers Linux des appareils BIG-IP lors de son exécution.
Comme l’exploit donne aux attaquants des privilèges root dans le Systèmes d’exploitation Linux alimentant les appareils BIG-IPla commande rm -rf /* pourra supprimer presque tous les fichiers, y compris les fichiers de configuration nécessaires au bon fonctionnement de l’appareil.
Heureusement, ces attaques destructrices ne sont pas généralisées, les acteurs de la menace cherchant à tirer profit de la violation des appareils plutôt que de causer des dommages.
Entreprises de renseignement sur les menaces en matière de cybersécurité Mauvais paquets et GreyNoise ont déclaré à EZpublish-france.fr qu’ils n’avaient vu aucune attaque destructrice sur leurs pots de miel.
Chercheur GreyNoise Kimber ont déclaré qu’ils voyaient principalement les exploits supprimer des webshells, exfiltrer des configurations ou exécuter des commandes pour créer des comptes d’administrateur sur les appareils.
Bien que les attaques destructrices observées par SANS puissent être rares, le fait qu’elles se produisent devrait être toute l’incitation dont un administrateur a besoin pour mettre à jour ses appareils avec les derniers niveaux de correctifs.
Lorsque nous avons contacté F5 à propos de ces attaques destructrices, ils ont déclaré à EZpublish-france.fr qu’ils étaient en contact avec SANS et déconseillaient vivement aux administrateurs d’exposer l’interface de gestion BIG-IP à Internet.
« Nous avons été en contact avec SANS et étudions le problème. Si les clients ne l’ont pas déjà fait, nous les exhortons à mettre à jour vers une version fixe de BIG-IP ou à mettre en œuvre l’une des mesures d’atténuation détaillées dans l’avis de sécurité. Nous conseillons vivement clients de ne jamais exposer leur interface de gestion BIG-IP (TMUI) à l’Internet public et de s’assurer que les contrôles appropriés sont en place pour limiter l’accès. » -F5
Cependant, il est important de noter que le chercheur en sécurité Kevin Beaumont a découvert que les attaques affectent également les appareils sur les ports non gérés s’ils sont mal configurés.
Pour les personnes touchées par des attaques sur leurs appareils BIG-IP, F5 a déclaré à EZpublish-france.fr que leur équipe de réponse aux incidents de sécurité est disponible 24 heures sur 24, sept jours sur sept, et peut être contactée au (888) 882-7535, (800) 11- 275-435, ou en ligne.
Pour les administrateurs F5 BIG-IP craignant que leurs appareils aient déjà été compromis, le fondateur de Sandfly Security, Craig Rowland, est offrir des licences de test qu’ils peuvent utiliser pour vérifier leurs appareils.