Portal Securityweek podał informacje, że grupa hakerska, podobno powiązana z rządem Iranu, celowała w krytyczną lukę, którą F5 Networks rozwiązała w swoim kontrolerze dostarczania aplikacji BIG-IP (ADC) na początku lipca.
Sklasyfikowana jako CVE-2020-5902 i posiadająca wynik CVSS 10, luka umożliwia zdalnym atakującym przejęcie pełnej kontroli nad systemem. BIG-IP F5 jest używany przez wiele dużych organizacji do przyspieszania aplikacji, równoważenia obciążenia, odciążania SSL i zapory aplikacji internetowych.
Pierwsze ataki z wykorzystaniem tego błędu zaobserwowano kilka dni po opublikowaniu zaleceń i poprawek. W tym czasie firma Positive Technologies, która odkryła błąd, zidentyfikowała ponad 8 000 podatnych na ataki urządzeń bezpośrednio wystawionych w Internecie. Wkrótce potem okazało się, że hackerzy znaleźli sposoby na ominięcie środków zaradczych zastosowanych do tej luki. Pod koniec lipca CISA ostrzegła przed „aktorami” wykorzystującymi błędy w atakach na rząd USA i organizacje komercyjne.
Crowdstrike zauważa w poście na blogu, że jedną z grup atakujących tę lukę jest PIONEER KITTEN, irańska grupa szpiegowska, która uważana jest za „działającą na rzecz irańskiego rządu”. Aktywna jest od co najmniej 2017 r. Grupa określana jest też jako: PARISITE, UNC757 i FOX KITTEN, koncentrowała się na środowiskach akademickich, lotnictwie, chemii, obronności, inżynierii, usługach finansowych, administracji, opiece zdrowotnej, ubezpieczeniach, mediach, produkcji, doradztwie i profesjonalistach usług, handlu detalicznym i technologii w atakach, które wydają się mieć charakter oportunistyczny. Grupa koncentruje się na „uzyskaniu i utrzymaniu dostępu do podmiotów posiadających poufne informacje, które mogą mieć znaczenie wywiadowcze dla irańskiego rządu”, zauważa Crowdstrike. Cele są zlokalizowane w Izraelu, na Bliskim Wschodzie w Afryce Północnej (MENA) i Ameryce Północnej.
W przypadku początkowego dostępu PIONEER KITTEN polega głównie na wykorzystaniu zdalnych usług zewnętrznych na aktywach dostępnych przez Internet. Grupa niemal wyłącznie wykorzystuje w swojej działalności narzędzia open source.
„Charakterystyczną cechą operacyjną PIONEER KITTEN jest poleganie na tunelowaniu SSH za pośrednictwem narzędzi open source, takich jak Ngrok i niestandardowe narzędzia min. SSHMinion, do komunikacji i praktycznej obsługi klawiatury za pośrednictwem protokołu Remote Desktop Protocol (RDP)”, ujawnia Crowdstrike .
Oprócz CVE-2020-5902, hackerzy wykorzystują również luki takie jak: CVE-2019-11510 (dowolny odczyt plików w Pulse Secure), CVE-2018-13379 (pobieranie plików systemowych w Fortinet FortiOS), CVE-2019-1579 (wykonanie dowolnego kodu w Palo Alto Networks VPN) i CVE-2019-19781 (wykonanie nieuwierzytelnionego kodu w Citrix Application Delivery Controller (ADC) i Gateway).
Wybrany post: Hakerzy wzięli na cel krytyczną lukę w F5
