Menu dostępności

Hakerzy wzięli na cel krytyczną lukę w F5

Portal Securityweek podał informacje, że grupa hakerska, podobno powiązana z rządem Iranu, celowała w krytyczną lukę, którą F5 Networks rozwiązała w swoim kontrolerze dostarczania aplikacji BIG-IP (ADC) na początku lipca.

Sklasyfikowana jako CVE-2020-5902 i posiadająca wynik CVSS 10, luka umożliwia zdalnym atakującym przejęcie pełnej kontroli nad systemem. BIG-IP F5 jest używany przez wiele dużych organizacji do przyspieszania aplikacji, równoważenia obciążenia, odciążania SSL i zapory aplikacji internetowych.

Pierwsze ataki z wykorzystaniem tego błędu zaobserwowano kilka dni po opublikowaniu zaleceń i poprawek. W tym czasie firma Positive Technologies, która odkryła błąd, zidentyfikowała ponad 8 000 podatnych na ataki urządzeń bezpośrednio wystawionych w Internecie. Wkrótce potem okazało się, że hackerzy znaleźli sposoby na ominięcie środków zaradczych zastosowanych do tej luki. Pod koniec lipca CISA ostrzegła przed „aktorami” wykorzystującymi błędy w atakach na rząd USA i organizacje komercyjne.

Crowdstrike zauważa w poście na blogu, że jedną z grup atakujących tę lukę jest PIONEER KITTEN, irańska grupa szpiegowska, która uważana jest za „działającą na rzecz irańskiego rządu”. Aktywna jest od co najmniej 2017 r. Grupa określana jest też jako: PARISITE, UNC757 i FOX KITTEN, koncentrowała się na środowiskach akademickich, lotnictwie, chemii, obronności, inżynierii, usługach finansowych, administracji, opiece zdrowotnej, ubezpieczeniach, mediach, produkcji, doradztwie i profesjonalistach usług, handlu detalicznym i technologii w atakach, które wydają się mieć charakter oportunistyczny. Grupa koncentruje się na „uzyskaniu i utrzymaniu dostępu do podmiotów posiadających poufne informacje, które mogą mieć znaczenie wywiadowcze dla irańskiego rządu”, zauważa Crowdstrike. Cele są zlokalizowane w Izraelu, na Bliskim Wschodzie w Afryce Północnej (MENA) i Ameryce Północnej.

W przypadku początkowego dostępu PIONEER KITTEN polega głównie na wykorzystaniu zdalnych usług zewnętrznych na aktywach dostępnych przez Internet. Grupa niemal wyłącznie wykorzystuje w swojej działalności narzędzia open source.

„Charakterystyczną cechą operacyjną PIONEER KITTEN jest poleganie na tunelowaniu SSH za pośrednictwem narzędzi open source, takich jak Ngrok i niestandardowe narzędzia min. SSHMinion, do komunikacji i praktycznej obsługi klawiatury za pośrednictwem protokołu Remote Desktop Protocol (RDP)”, ujawnia Crowdstrike .

Oprócz CVE-2020-5902, hackerzy wykorzystują również luki takie jak: CVE-2019-11510 (dowolny odczyt plików w Pulse Secure), CVE-2018-13379 (pobieranie plików systemowych w Fortinet FortiOS), CVE-2019-1579 (wykonanie dowolnego kodu w Palo Alto Networks VPN) i CVE-2019-19781 (wykonanie nieuwierzytelnionego kodu w Citrix Application Delivery Controller (ADC) i Gateway).

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Nowy exploit zero-day dla Windows. Microsoft znów pod presją

Nowy exploit zero-day dla Windows. Microsoft znów pod presją

Środowisko bezpieczeństwa IT ponownie żyje informacjami o ujawnieniu exploita typu zero-day dla systemów Microsoft Windows. Tym razem badacz bezpieczeństwa znany pod pseudonimem Chaotic Eclipse opub...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...