Обнаружен обход мер предотвращения эксплуатации уязвимости в F5 BIG-IP

[Artifact]

Владельцам сетевых устройств F5 BIG-IP настоятельно рекомендуется обновить систему до последней версии.

Владельцам сетевых устройств F5 BIG-IP, которые не установили исправления для критической уязвимости (CVE-2020-5902), настоятельно рекомендуется обновить систему до последней версии. Исследователи безопасности Чейз Дардаман (Chase Dardaman) и Рич Мирч (Rich Mirch) из команды TeamAres компании CriticalStart https://twitter.com/TeamAresSec/stat...ypass-found%2Fспособ обойти меры предотвращения эксплуатации уязвимости, позволяющей неавторизованному злоумышленнику удаленно выполнить код.
В настоящее время исследователи работают с группой реагирования на инциденты безопасности F5 с целью обновить меры предотвращения эксплуатации уязвимости (CVE-2020-5902), которые должны блокировать потенциальные атаки, использующие обход.
Команда также выявила еще один метод эксплуатации CVE-2020-5902 для удаленного выполнения кода, несколько отличающийся от представленных ранее. Если вкратце, он позволяет получить доступ к встроенной базе данных HyperSQL или HSQLDB и совместно с обходом аутентификации предоставляет возможность удаленного неавторизованного выполнения кода на сервере Tomcat.
В начале июля компания F5 Networks выпустила исправление для критической https://www.securitylab.ru/news/509651.phpв конфигурационном интерфейсе популярного контроллера доставки приложений BIG-IP, которая получила максимальную оценку в 10 баллов по шкале CVSSv3. Владельцам устройств, которые не могли сразу же применить исправление, компания порекомендовала принять меры предотвращения эксплуатации уязвимости
Напомним, исследователь безопасности из компании NCC Group Рич Уоррен (Rich Warren) https://www.securitylab.ru/news/509726.phpряд кибератак на сетевые устройства F5 BIG-IP. По словам эксперта, злоумышленники эксплуатируют уязвимость в конфигурационном интерфейсе популярного контроллера доставки приложений BIG-IP с целью похитить пароли администратора со взломанных устройств, установить криптовалютные майнеры, вредоносную программу DvrHelper (вариант Mirai), а также имплант GoMet с открытым исходным кодом на основе языка Golang.
Атаки начались сразу после того, как ИБ-специалисты начали активно https://twitter.com/yorickkoster/sta...09009151434754https://twitter.com/i/status/1279719835312640000 для эксплуатации уязвимости.