Недавно обнаруженная уязвимость в F5 BIG-IP, CVE-2022-1388, уже используется в деструктивных атаках, цель которых – уничтожить файловую систему устройства и сделать сервер непригодным для использования.
Напомню, что проблема позволяет неаутентифицированным злоумышленникам с доступом к сети выполнять произвольные системные команды, действия с файлами и отключать службы в BIG-IP. Баг получил 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS и связан с отсутствием аутентификации, что позволяет злоумышленнику захватить полный контроль над уязвимой системой. Уязвимость затрагивает компонент iControl REST и фактически позволяет хакеру отправлять скрытые запросы для обхода аутентификации iControl REST в BIG-IP.
Вскоре после появления первой информации об этой проблеме, исследователи стали выкладывать в Twitter и на GitHub эксплоиты для нее, и злоумышленники не заставили себя ждать, начав использовать уязвимость для атак. Тогда как большинство атак заканчивалось установкой веб-шеллов, кражей SSH-ключей и системной информации, теперь эксперты SANS Internet Storm Center предупреждают, что обнаружили куда более неприятные сценарии эксплуатации CVE-2022-1388.
Honeypot-машины исследователей зафиксировали две атаки, исходившие с IP-адреса 177.54.127[.]111, которые выполняли команду rm -rf /* на целевом устройстве. Эта команда пытается стереть все файлы в файловой системе Linux-девайса BIG-IP при выполнении.
Так как эксплоит дает злоумышленникам привилегии root, команда rm -rf /* может удалить почти все файлы, включая файлы конфигурации, необходимые для правильной работы устройства.
Аналогичные атаки заметил и известный ИБ-эксперт Кевин Бомонт, которой пишет в Twitter, что многие устройства, которые он ранее наблюдал через Shodan, теперь перестали отвечать и, очевидно, были «стерты».
Как отмечает издание Bleeping Computer, к счастью, пока подобные деструктивные атаки весьма редки, ведь большинство злоумышленников хотят получить выгоду от взлома устройств, и их не слишком интересует нанесение ущерба.