La semaine dernière, F5 a divulgué une vulnérabilité connue sous le nom de CVE-2022-1388 qui permet à des attaquants distants d'exécuter des commandes sur des périphériques réseau BIG-IP en tant que "root" sans authentification. En raison de la nature critique de ce bogue, F5 a demandé aux administrateurs d'appliquer les mises à jour dès que possible.

Quelques jours plus tard, les chercheurs ont commencé à publier publiquement les exploits sur Twitter et GitHub, les acteurs de la menace les utilisant bientôt dans des attaques à travers l'Internet.

Alors que la plupart des attaques ont été utilisées pour déposer des webshells pour l'accès initial aux réseaux, voler des clés SSH et énumérer des informations sur le système, le SANS Internet Storm Center a vu deux attaques qui ciblaient les dispositifs BIG-IP d'une manière beaucoup plus néfaste, et a déclaré que leurs honeypots ont vu deux attaques provenant de l'adresse IP 177.54.127[.]111 qui tente d'effacer tous les fichiers du système de fichiers Linux du périphérique BIG-IP lorsqu'elle est exécutée.

Comme l'exploit donne aux attaquants des privilèges root dans les systèmes d'exploitation Linux qui alimentent les dispositifs BIG-IP, la commande rm -rf /* sera en mesure de supprimer presque tous les fichiers, y compris les fichiers de configuration nécessaires au bon fonctionnement du dispositif.

"Je confirme. Des appareils du monde réel ont été effacés ce soir, de nombreux appareils sur Shodan ont cessé de répondre", a tweeté le chercheur en sécurité Kevin Beaumont.

"Nous avons été en contact avec le SANS et nous enquêtons sur ce problème. Si les clients ne l'ont pas encore fait, nous leur conseillons vivement de mettre à jour leur version de BIG-IP ou d'appliquer l'une des mesures d'atténuation décrites dans l'avis de sécurité. Nous conseillons vivement aux clients de ne jamais exposer leur interface de gestion BIG-IP (TMUI) à l'Internet public et de s'assurer que les contrôles appropriés sont en place pour limiter l'accès." - F5

Cependant, il est important de noter que Beaumont a constaté que les attaques affectent également les dispositifs sur les ports non de gestion s'ils sont mal configurés.