以破坏性攻击为目标的 F5 BIG-IP 严重漏洞

最近曝光的 F5 BIG-IP 漏洞已被用于破坏性攻击，试图擦除设备的文件系统并使服务器无法使用。

上个星期， F5 . 检测 一个被跟踪为 CVE-2022-1388 的漏洞，它允许远程攻击者以“root”身份在 BIG-IP 网络设备上执行命令而无需身份验证。 由于该漏洞的严重性，F5 敦促管理员尽快应用更新。

几天后，研究人员开始在 Twitter 和 GitHub 上公开发布他们的漏洞， 威胁行为者迅速在攻击中使用它们 在线的。

虽然大多数攻击用于丢弃 Web shell 以进行初始网络访问、窃取 SSH 密钥和枚举系统信息，但 SANS 互联网风暴中心目睹了两次以更邪恶的方式针对 BIG-IP 设备的攻击。

SANS 告诉 BleepingComputer，他们的景点有两次来自 IP 地址 177.54.127 的攻击[.]111 在目标 BIG-IP 设备上执行“rm -rf /*”命令。

此命令在执行时将尝试擦除 BIG-IP 设备的 Linux 文件系统上的所有文件。

由于该漏洞利用为攻击者提供了 root 权限 Linux 操作系统运行 BIG-IP 设备rm -rf /* 命令将能够删除几乎所有文件，包括设备正常运行所需的配置文件。

在我们的故事发表后，安全研究员 Kevin Beaumont 证实，这些设备今晚已被销毁。

“我可以确认。今晚正在擦除现实世界的硬件，Shodan 的很多硬件已经停止响应，” 唧唧喳喳 博蒙特。

幸运的是，这些破坏性攻击似乎并不普遍，大多数威胁参与者都希望利用黑客设备而不是造成伤害。

网络安全威胁情报公司 坏包 和 灰噪声 他告诉 BleepingComputer，他们没有看到对他们景点的任何破坏性攻击。

灰噪声研究员 金伯 他们说，他们看到的大多数漏洞利用会删除 Web shell、破解配置或运行命令以在机器上创建管理员帐户。

虽然 SANS 看到的破坏性攻击可能很少见，但它们发生的事实应该是管理员将其设备更新到最新补丁级别所需的全部动力。

当我们就这些毁灭性的攻击联系 F5 时，他们告诉 BleepingComputer，他们正在与 SANS 联系，并强烈建议管理员不要将 BIG-IP 管理接口暴露在 Internet 上。

“我们已与 SANS 联系并正在调查此问题。如果客户尚未这样做，我们敦促他们更新到 BIG-IP 的稳定版本或实施安全公告中详述的缓解措施之一。我们强烈建议客户永远不会损害其用于公共 Internet 的 BIG-IP 管理接口 (TMUI)，并确保采取适当的控制措施来限制访问。” – F5

但是，需要注意的是，Beaumont 发现如果配置错误，攻击也会影响非管理端口上的设备。

对于那些受到 BIG-IP 设备攻击影响的人，F5 告诉 BleepingComputer，他们的安全事件响应团队每周 7 天、每天 24 小时提供服务，可以通过 (888) 882-7535、(800) 11-275 联系-435，或在线。

对于担心其设备已被黑客入侵的 F5 BIG-IP 管理员，Sandfly Security 创始人 Craig Rowland 提交测试许可证 他们可以使用它来检查他们的设备。

22 年 10 月 5 日更新：添加了来自 Kevin Beaumont 的确认。