黑客正试图从 F5 BIG-IP 设备窃取管理密码

在F5 BIG-IP mega-漏洞被公开三天之后，威胁者已经开始利用它了。

我们了解到，黑客已经开始攻击F5 BIG-IP网络设备。NCC集团的安全研究员Rich Warren发现了一些攻击。

在一次采访中，Warren说，这些攻击本质上是恶意的，黑客试图从被黑的设备中窃取管理员密码。

概要: BIG-IP和CVE-2020-5902

这些攻击的目标是F5 Networks公司生产的一种多用途网络设备BIG-IP。BIG-IP设备可以配置为流量调整系统、负载均衡器、防火墙、访问网关、速率限制器或SSL中间件来进行工作。

这些设备是目前使用的最流行的网络产品之一，它们被用于支持一些最大的敏感网络。

BIG-IP设备用于政府网络、互联网服务提供商的网络、云计算数据中心内部，并广泛部署在企业网络中。

这些设备功能强大、广受欢迎，以至于F5在其网站上宣称，《财富》50强企业中，有48家都在使用BIG-IP系统。

F5 Networks不仅发布了补丁，还发布了关于BIG-IP设备“远程代码执行”漏洞的安全建议。

F5说，这个被追踪到的漏洞名为CVE-2020-5902，可能会让攻击者完全控制未打补丁的系统，此系统可以通过互联网访问。

该漏洞被认为是危险的，以致于它收到了10分的严重评分，这是CVSSv3严重级别的最大值。这个分数意味着这个漏洞很容易被利用、自动化，它可以在互联网上使用，而且不需要有效的证书或高级的编码技能就可以利用。

漏洞公布三天后开始被利用

网络安全社区预计，一旦黑客找到利用漏洞的方法，这个漏洞就会受到主动攻击。

自这一漏洞公开以来，网络安全专家一直尝试发出警报，提醒人们需要紧急修补这一漏洞，因为任何成功的攻击都将使威胁者能够完全访问世界上一些最重要的 IT 网络。

美国网络司令部要求系统管理员花时间给BIG-IP设备打补丁，他们也担心同样的事情发生。

Warren表示，这些攻击是在美国网络司令部发布推文之后开始的。Warren说，他侦测到来自五个不同IP地址的恶意攻击。他目前运营的是BIG-IP honeypot服务器，这些服务器被设计得像BIG-IP设备。

Warren指出了这些攻击的来源，并确认它们是恶意的。
“这个漏洞允许您使用遍历序列调用.jsp文件。”Warren说。反过来又允许您使用通过身份验证的.jsp文件的功能来执行诸如读取文件或最终执行代码之类的操作。

到目前为止，我们看到的是攻击者从honeypots读取各种不同的文件，并通过内置的.jsp文件执行命令。有了这个，他们能够转储加密的管理密码、设置等等。”Warren说。

pulse安全、citrix和BIG-IP

BIG-IP漏洞是一种安全漏洞，国家黑客组织和勒索软件团伙已经利用这种漏洞将近一年了——不过是在其他产品上。

黑客组织一直在利用Pulse Secure vpn和Citrix网络网关中类似的RCE漏洞，在企业网络中站稳脚跟，然后植入后门、窃取敏感文件或安装勒索软件。

Pulse安全和Citrix漏洞一直是勒索软件团伙的主要业务。在很多情况下，他们甚至没有立即利用这些漏洞。他们设置后门，然后几天、几周或几个月后再回来，把他们的访问权变成可访问。

据悉，勒索软件团伙如REvil、Maze或Netwalker严重依赖这类漏洞来攻击一些世界上最大的公司。安全专家说，BIG-IP漏洞正是会推动他们下一波攻击的这类漏洞。