Обнаружен обход мер предотвращения эксплуатации уязвимости в F5 BIG-IP

Обнаружен обход мер предотвращения эксплуатации уязвимости в F5 BIG-IP

Владельцам сетевых устройств F5 BIG-IP настоятельно рекомендуется обновить систему до последней версии.

image

Владельцам сетевых устройств F5 BIG-IP, которые не установили исправления для критической уязвимости (CVE-2020-5902), настоятельно рекомендуется обновить систему до последней версии. Исследователи безопасности Чейз Дардаман (Chase Dardaman) и Рич Мирч (Rich Mirch) из команды TeamAres компании CriticalStart обнаружили способ обойти меры предотвращения эксплуатации уязвимости, позволяющей неавторизованному злоумышленнику удаленно выполнить код.

В настоящее время исследователи работают с группой реагирования на инциденты безопасности F5 с целью обновить меры предотвращения эксплуатации уязвимости (CVE-2020-5902), которые должны блокировать потенциальные атаки, использующие обход.

Команда также выявила еще один метод эксплуатации CVE-2020-5902 для удаленного выполнения кода, несколько отличающийся от представленных ранее. Если вкратце, он позволяет получить доступ к встроенной базе данных HyperSQL или HSQLDB и совместно с обходом аутентификации предоставляет возможность удаленного неавторизованного выполнения кода на сервере Tomcat.

В начале июля компания F5 Networks выпустила исправление для критической уязвимости в конфигурационном интерфейсе популярного контроллера доставки приложений BIG-IP, которая получила максимальную оценку в 10 баллов по шкале CVSSv3. Владельцам устройств, которые не могли сразу же применить исправление, компания порекомендовала принять меры предотвращения эксплуатации уязвимости

Напомним, исследователь безопасности из компании NCC Group Рич Уоррен (Rich Warren) зафиксировал ряд кибератак на сетевые устройства F5 BIG-IP. По словам эксперта, злоумышленники эксплуатируют уязвимость в конфигурационном интерфейсе популярного контроллера доставки приложений BIG-IP с целью похитить пароли администратора со взломанных устройств, установить криптовалютные майнеры, вредоносную программу DvrHelper (вариант Mirai), а также имплант GoMet с открытым исходным кодом на основе языка Golang.

Атаки начались сразу после того, как ИБ-специалисты начали активно публиковать PoC-коды для эксплуатации уязвимости.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle