На прошлой неделе мы рассказывали о крайне опасной RCE-проблеме, исправленной в конфигурационном интерфейсе популярного контроллера доставки приложений BIG-IP. Данная уязвимость была обнаружена экспертами Positive Technologies, получила идентификатор CVE-2020-5902 и набрала 10 баллов по шкале CVSSv3 (из 10 возможных), что соответствует наивысшему уровню опасности.
Многоцелевые сетевые устройства BIG-IP могут быть настроены для работы в качестве систем управления трафиком, балансировщиков нагрузки, брандмауэров, шлюзов доступа и так далее. Эти устройства являются одними из наиболее востребованных сетевых продуктов на сегодняшний день и используются в работе многих крупнейших и важнейших сетей. Так, девайсы BIG-IP работают в государственных сетях, в сетях интернет-провайдеров, в облачных ЦОД, а также во множестве корпоративных сетей.
Эксплуатируя найденный экспертами баг, злоумышленник получает возможность выполнять команды от лица неавторизованного пользователя и полностью скомпрометировать систему, например, перехватить трафик веб-ресурсов, которым управляет контроллер. Атака может быть реализована удаленно.
Аналитики Positive Technologies писали, что по состоянию на конец июня 2020 года в мире насчитывалось свыше 8000 уязвимых устройств, доступных из интернета, из них 40% — в США, 16% — в Китае, 3% — на Тайване, по 2,5% — в Канаде и Индонезии. В России было обнаружено менее 1% уязвимых устройств.
Уязвимость привлекла внимание множества ИБ-специалистов, и в силу ее серьезности даже Киберкомандование США выпустило соответствующее предупреждение, призвав всех как можно скорее установить патчи.
URGENT: Patching CVE-2020-5902 and 5903 should not be postponed over the weekend. Remediate immediately. https://t.co/UBKECuN7Vv
— USCYBERCOM Cybersecurity Alert (@CNMF_CyberAlert) July 3, 2020
Теперь специалист NCC Group Рич Уоррен (Rich Warren) предупредил, что уязвимость уже находится под атаками. Специалисту принадлежат несколько honeypot-приманок, замаскированных под BIG-IP, и, по его словам, атаки на них начались через несколько часов после публикации предупреждения Киберкомандования США. Атаки исходили как минимум с пяти различных IP-адресов: хакеры пытались похитить пароли администраторов с уязвимых устройств.
First exploits coming from ?? pic.twitter.com/HAySCfh79y
— Rich Warren (@buffaloverflow) July 4, 2020
Дело в том, что ИБ-исследователи уже начали публиковать эксплоиты для уязвимости CVE-2020-5902, стремясь продемонстрировать, насколько легко используется этот баг, и как быстро с его помощью можно похитить данные или выполнить произвольные команды.
На GitHub уже появился репозиторий, где собраны PoC для выполнения различных задач, в том числе отображение файла /etc/passwd для доступа к сохраненным учетным данным, а также просмотр файла конфигурации уязвимых устройств.
TMSH access in a matter of minutes ? (CVE-2020-5902). Of course this does require access to the management interface. pic.twitter.com/FcR2zRZBG9
— Yorick Koster (@yorickkoster) July 5, 2020
Исследователи отмечают, что по масштабности данная проблема во многом похожа на RCE-уязвимости в Pulse Secure VPN и сетевых шлюзах Citrix. Такие баги очень популярны у злоумышленников и обычно используются ими, чтобы закрепляться в корпоративных сетях (после этого хакеры внедряют в сети организаций бэкдоры, крадут конфиденциальные файлы или разворачивают вымогательское ПО). К примеру, на такие уязвимости часто полагаются хак-группы REvil, Maze и Netwalker, что позволяет им компрометировать крупнейшие компании мира.