伊朗黑客瞄准F5 BIG-IP中的超危漏洞 – 作者:偶然路过的围观群众

据观察，一个被认为与伊朗政府关联的黑客团体正在利用F5 Networks于七月初修复的，BIG-IP应用程序交付控制器（ADC）中的一个超危漏洞。

该漏洞编号为CVE-2020-5902，CVSS评分为10。远程攻击者可利用该漏洞完全控制目标系统。F5的BIG-IP被许多大型组织用于应用程序加速，负载均衡，SSL卸载和web应用程序防火墙。

在安全公告和补丁发布数天后，针对该漏洞的第一波攻击被发现。当时，发现该漏洞的Positive Technologies公司发现8000多台脆弱的设备直接暴露在互联网上。

不久之后，攻击者找到绕过该漏洞的缓解措施的方法。在七月末，美国CISA就攻击者利用该漏洞攻击美国政府和商业组织发出警告。

网络安全公司Crowdstrike在一篇文章中指出，瞄准该漏洞的一个威胁团体为PIONEER KITTEN，一个伊朗网络间谍团体，被认为是伊朗政府的合同承包商。

该团体至少自2017年就开始活跃，也被称为PARISITE，UNC757和FOX KITTEN。该团体已被观察到在看似投机的攻击中针对学术机构，航空，化工，国防，工程，金融服务，政府机构，医疗保健，保险，媒体，制造，咨询和专业服务，零售和科技行业。

Crowdstrike指出，该团体以获取和保持对实体的访问，从而获取伊朗政府可能感兴趣的敏感信息为重点。该团体的目标主要位于以色列，中东和北非地区，以及北美地区。

PIONEER KITTEN主要依赖于可从互联网访问的资产上的远程外部服务获取初始访问。该团体在行动中几乎完全使用开源工具。

Crowdstrike揭露，PIONEER KITTEN的行动特征是其借助Ngrok等开源工具和该攻击者自制的工具SSHMinion依靠SSH隧道通过远程桌面协议（RDP）与植入的软件和键盘操作活动通信。

除了CVE-2020-5902，该攻击者还利用CVE-2019-11510（Pulse Secure中的任意文件读取漏洞），CVE-2018-13379（Fortinet FortiOS中的系统文件下载漏洞），CVE-2019-1579（Palo Alto Networks VPN中的任意代码执行漏洞）和CVE-2019-19781（Citrix Application Delivery Controller (ADC) and Gateway中的未经身份认证代码执行漏洞）等漏洞。

Crowdstrike表示，PIONEER KITTEN的目标范围广泛可能是因为该攻击者的投机行动模型造成的；该攻击者最有兴趣的实体显然是科技，政府，国防和医疗保健组织。

————————————————————————————————————

消息来源Security Week；转载请注明出处。

关注群智分析平台公众号，获取资讯《研究人员发现wolfSSL库存在安全漏洞》。

来源：freebuf.com 2020-09-02 15:14:48 by: 偶然路过的围观群众