In un PIN (Private Industry Notification) emesso dalla Cybersecurity and Infrastructure Security Agency degli Stati Uniti, è stato rivelato che gli hacker iraniani sponsorizzati dallo stato stanno attivamente sfruttando una vulnerabilità F5 BIG-IP. La falla consente esecuzioni di codice remoto non autenticate su dispositivi utilizzati da aziende Fortune 500, agenzie governative e banche. Le patch di sicurezza sono state rilasciate il 3 luglio 2020 da F5 Networks (F5) per correggere questa vulnerabilità critica.
Il mese scorso CISA ha anche emesso un avviso che ribadiva lo sfruttamento attivo di CVE-2020-5902, confermando anche attacchi riusciti contro due organizzazioni.
“Già il 6 luglio 2020, il CISA ha visto un’ampia attività di scansione per la presenza di questa vulnerabilità tra i dipartimenti e le agenzie federali: questa attività è attualmente in corso”, ha aggiunto CISA.
L’FBI afferma che dopo aver compromesso la rete di un’organizzazione, gli attori della minaccia sostenuti dallo stato iraniano potrebbero raccogliere e rubare informazioni sensibili che potrebbero finire nelle mani di altri hacker o del governo iraniano.
Altri risultati di attacchi coordinati con successo includono l’implementazione di ransomware su reti compromesse e il furto di credenziali che possono essere sfruttate per ottenere l’accesso ad altri dispositivi di rete.
Poiché secondo l’avviso di sicurezza di F5, tutti i dispositivi senza patch sono probabilmente già compromessi, si consiglia agli amministratori IT di utilizzare lo strumento di rilevamento IoC CVE-2020-5902 di F5 per eseguire la scansione di IOC all’interno dell’ambiente dell’organizzazione.
CISA consiglia a tutte le organizzazioni di eseguire questi passaggi durante la ricerca di segnali di sfruttamento CVE-2020-5902:
• Mettere in quarantena o mettere offline i sistemi potenzialmente interessati
• Raccogliere ed esaminare artefatti come processi/servizi in esecuzione, autenticazioni insolite e connessioni di rete recenti
• Distribuire una firma Snort creata da CISA per rilevare attività dannose (disponibile nell’avviso in Metodi di rilevamento)
Se viene rilevata la prova dello sfruttamento di CVE-2020-5902, le organizzazioni sono invitate a rispondere prontamente con misure di ripristino mirate a tutti i dispositivi.
https://www.f5.com/services/support/big-ip-vulnerability-cve-2020-5902