Jetzt patchen! F5 BIG-IP-Systeme werden aktiv angegriffen
Angreifer nutzen Sicherheitslücken in den BIG-IP-Systemen von F5 aus, um darin einzubrechen, die Systeme unbrauchbar zu machen oder sie zu übernehmen.
(Bild: asharkyu/Shutterstock.com)
Anfang dieser Woche wurde bekannt, dass Angreifer eine Sicherheitslücke in den BIG-IP-Systemen von F5 missbrauchen könnten, um darin einzubrechen (CVE-2022-1388, CVSS 9.8, Risiko "kritisch"). Erster Proof-of-Concept-Code, der das Ausnutzen der Sicherheitslücken demonstriert, war seitdem verfügbar.
Den haben Cyberkriminelle offenbar umgehend in ihre Exploit-Baukästen aufgenommen. Sie kapern damit zahlreiche BIG-IP-Systeme und richten Schaden an, berichten mehrere Sicherheitsexperten. Updates zum Schließen der Lücke stehen seit einer Woche bereit.
Erfolgreiche Angriffe
Bis zum gestrigen Dienstag hat der Forscher Germán Fernández mehr als 300 kompromittierte BIG-IP-Systeme aufgespürt. Er empfiehlt, nach dem Installieren der verfügbaren Updates neu angelegte PHP-Dateien im Ordner /usr/local/www/xui/common sowie / zu entfernen und die Datei /config/startup zu bereinigen.
Das SANS-Institut erläuterte auf Twitter, wie Angreifer sich etwa mit dem eingeschleusten Befehl "rm -rf /*" um angreifbare Systeme kümmerten. Da der Webserver als root laufe, zerstöre dies jede verwundbare BIG-IP-Appliance.
Gelöschte Dateisysteme
Der IT-Sicherheitsforscher Kevin Beaumont bestätigt derartige Angriffe. Eine größere Menge der mit der Suchmaschine Shodan auffindbaren Appliances reagierten inzwischen nicht mehr auf Kontaktversuche.
Das Löschen zerstöre das Load-Balancing und Websites, erörtert Beaumont weiter. Er habe zuvor vermutlich iranisch-stämmige Akteure beobachtet, die Shells auf verwundbare Appliances verteilt hätten, die nun sicherlich "gut angepisst sind, ihre Backdoor wieder verloren zu haben".
Auch das Sicherheitsunternehmen Palo Alto beobachtet Angriffsversuche. Es hat Signaturen zur Erkennung von Angriffen auf die Schwachstelle verteilt und erkannte damit am gestrigen Vormittag mehr als 2.500 Attacken.
Derweil listet Cisco einige Angreifer-IP-Adressen auf und hat Signaturen für das Intrusion Detection System Snort Signaturen veröffentlicht. Da die Appliances von F5 unter anderem in großen Unternehmen weitverbreitet sind, sollten Administratoren spätestens jetzt handeln und die verfügbaren Aktualisierungen installieren. Zudem sollten sie prüfen, ob ihre Systeme nicht bereits kompromittiert wurden und sie gegebenenfalls bereinigen.
(dmk)