Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Hakerzy wzięli na cel krytyczną lukę w F5

Kapitan Hack / Cybernews / Hakerzy wzięli na cel krytyczną lukę w F5

Portal Securityweek podał informacje, że grupa hakerska, podobno powiązana z rządem Iranu, celowała w krytyczną lukę, którą F5 Networks rozwiązała w swoim kontrolerze dostarczania aplikacji BIG-IP (ADC) na początku lipca.

Sklasyfikowana jako CVE-2020-5902 i posiadająca wynik CVSS 10, luka umożliwia zdalnym atakującym przejęcie pełnej kontroli nad systemem. BIG-IP F5 jest używany przez wiele dużych organizacji do przyspieszania aplikacji, równoważenia obciążenia, odciążania SSL i zapory aplikacji internetowych.

Pierwsze ataki z wykorzystaniem tego błędu zaobserwowano kilka dni po opublikowaniu zaleceń i poprawek. W tym czasie firma Positive Technologies, która odkryła błąd, zidentyfikowała ponad 8 000 podatnych na ataki urządzeń bezpośrednio wystawionych w Internecie. Wkrótce potem okazało się, że hackerzy znaleźli sposoby na ominięcie środków zaradczych zastosowanych do tej luki. Pod koniec lipca CISA ostrzegła przed „aktorami” wykorzystującymi błędy w atakach na rząd USA i organizacje komercyjne.

Crowdstrike zauważa w poście na blogu, że jedną z grup atakujących tę lukę jest PIONEER KITTEN, irańska grupa szpiegowska, która uważana jest za „działającą na rzecz irańskiego rządu”. Aktywna jest od co najmniej 2017 r. Grupa określana jest też jako: PARISITE, UNC757 i FOX KITTEN, koncentrowała się na środowiskach akademickich, lotnictwie, chemii, obronności, inżynierii, usługach finansowych, administracji, opiece zdrowotnej, ubezpieczeniach, mediach, produkcji, doradztwie i profesjonalistach usług, handlu detalicznym i technologii w atakach, które wydają się mieć charakter oportunistyczny. Grupa koncentruje się na „uzyskaniu i utrzymaniu dostępu do podmiotów posiadających poufne informacje, które mogą mieć znaczenie wywiadowcze dla irańskiego rządu”, zauważa Crowdstrike. Cele są zlokalizowane w Izraelu, na Bliskim Wschodzie w Afryce Północnej (MENA) i Ameryce Północnej.

W przypadku początkowego dostępu PIONEER KITTEN polega głównie na wykorzystaniu zdalnych usług zewnętrznych na aktywach dostępnych przez Internet. Grupa niemal wyłącznie wykorzystuje w swojej działalności narzędzia open source.

„Charakterystyczną cechą operacyjną PIONEER KITTEN jest poleganie na tunelowaniu SSH za pośrednictwem narzędzi open source, takich jak Ngrok i niestandardowe narzędzia min. SSHMinion, do komunikacji i praktycznej obsługi klawiatury za pośrednictwem protokołu Remote Desktop Protocol (RDP)”, ujawnia Crowdstrike .

Oprócz CVE-2020-5902, hackerzy wykorzystują również luki takie jak: CVE-2019-11510 (dowolny odczyt plików w Pulse Secure), CVE-2018-13379 (pobieranie plików systemowych w Fortinet FortiOS), CVE-2019-1579 (wykonanie dowolnego kodu w Palo Alto Networks VPN) i CVE-2019-19781 (wykonanie nieuwierzytelnionego kodu w Citrix Application Delivery Controller (ADC) i Gateway).

Autor: 3 min czytania

Popularne

Czym jest Microsoft Entra Backup and Recovery?

Czym jest Microsoft Entra Backup and Recovery?

Przez długi czas odzyskiwanie zmian w Microsoft Entra opierało się głównie na kilku osobnych mechanizmach: soft-delete dla części obiektów, logach audytowych, eksportach konfiguracji i ręcznym odtwarza...
4 min czytania 7 godziny temu
Masjesu – komercyjny botnet wykorzystywany do ataków na urządzenia IoT

Masjesu – komercyjny botnet wykorzystywany do ataków na urządzenia IoT

W ostatnich tygodniach badacze bezpieczeństwa ujawnili szczegóły działania Masjesu, zaawansowanego botnetu, który funkcjonuje jako usługa DDoS-for-hire i jest aktywnie wykorzystywany w rzeczywistych ataka...
6 min czytania wczoraj
Trzy aktywnie wykorzystywane zero-daye w Microsoft Defender

Trzy aktywnie wykorzystywane zero-daye w Microsoft Defender

Microsoft Defender przez lata wyrósł na podstawową linię obrony w Windowsie. Problem w tym, że w kwietniu 2026 to właśnie on stał się celem - i to nie jednego, a trzech zero-dayów wykorzystywanych w realnyc...
5 min czytania 21 kwi 2026 06:18
Twoja rezerwacja bronią cyberprzestępców – kulisy ataku na Booking.com

Twoja rezerwacja bronią cyberprzestępców – kulisy ataku na Booking.com

Wyobraź sobie, że dostajesz wiadomość od hotelu, w którym masz zarezerwowany pobyt. Wszystko wygląda wiarygodnie: dane się zgadzają, termin pasuje, a treść brzmi jak standardowa prośba o potwierdzenie. Problem w...
3 min czytania 22 kwi 2026 08:00
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
5 min czytania 5 cze 2019 08:00
Popularne
Czym jest Microsoft Entra Backup and Recovery?
Masjesu – komercyjny botnet wykorzystywany do ataków na urządzenia IoT
Trzy aktywnie wykorzystywane zero-daye w Microsoft Defender
Twoja rezerwacja bronią cyberprzestępców – kulisy ataku na Booking.com
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.