伊朗黑客瞄准F5 BIG-IP中的超危漏洞 – 作者:偶然路过的围观群众

据观察,一个被认为与伊朗政府关联的黑客团体正在利用F5 Networks于七月初修复的,BIG-IP应用程序交付控制器(ADC)中的一个超危漏洞。

该漏洞编号为CVE-2020-5902,CVSS评分为10。远程攻击者可利用该漏洞完全控制目标系统。F5的BIG-IP被许多大型组织用于应用程序加速,负载均衡,SSL卸载和web应用程序防火墙。

在安全公告和补丁发布数天后,针对该漏洞的第一波攻击被发现。当时,发现该漏洞的Positive Technologies公司发现8000多台脆弱的设备直接暴露在互联网上。

不久之后,攻击者找到绕过该漏洞的缓解措施的方法。在七月末,美国CISA就攻击者利用该漏洞攻击美国政府和商业组织发出警告。

网络安全公司Crowdstrike在一篇文章中指出,瞄准该漏洞的一个威胁团体为PIONEER KITTEN,一个伊朗网络间谍团体,被认为是伊朗政府的合同承包商。

该团体至少自2017年就开始活跃,也被称为PARISITE,UNC757和FOX KITTEN。该团体已被观察到在看似投机的攻击中针对学术机构,航空,化工,国防,工程,金融服务,政府机构,医疗保健,保险,媒体,制造,咨询和专业服务,零售和科技行业。

Crowdstrike指出,该团体以获取和保持对实体的访问,从而获取伊朗政府可能感兴趣的敏感信息为重点。该团体的目标主要位于以色列,中东和北非地区,以及北美地区。

PIONEER KITTEN主要依赖于可从互联网访问的资产上的远程外部服务获取初始访问。该团体在行动中几乎完全使用开源工具。

Crowdstrike揭露,PIONEER KITTEN的行动特征是其借助Ngrok等开源工具和该攻击者自制的工具SSHMinion依靠SSH隧道通过远程桌面协议(RDP)与植入的软件和键盘操作活动通信。

除了CVE-2020-5902,该攻击者还利用CVE-2019-11510(Pulse Secure中的任意文件读取漏洞),CVE-2018-13379(Fortinet FortiOS中的系统文件下载漏洞),CVE-2019-1579(Palo Alto Networks VPN中的任意代码执行漏洞)和CVE-2019-19781(Citrix Application Delivery Controller (ADC) and Gateway中的未经身份认证代码执行漏洞)等漏洞。

Crowdstrike表示,PIONEER KITTEN的目标范围广泛可能是因为该攻击者的投机行动模型造成的;该攻击者最有兴趣的实体显然是科技,政府,国防和医疗保健组织。

————————————————————————————————————

消息来源Security Week;转载请注明出处。

关注群智分析平台公众号,获取资讯《研究人员发现wolfSSL库存在安全漏洞》。

图片[1]-伊朗黑客瞄准F5 BIG-IP中的超危漏洞 – 作者:偶然路过的围观群众-安全小百科

来源:freebuf.com 2020-09-02 15:14:48 by: 偶然路过的围观群众

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论