В настоящее время исследователи работают с группой реагирования на инциденты безопасности F5 с целью обновить меры предотвращения эксплуатации уязвимости (CVE-2020-5902), которые должны блокировать потенциальные атаки, использующие обход.
Команда также выявила еще один метод эксплуатации CVE-2020-5902 для удаленного выполнения кода, несколько отличающийся от представленных ранее. Если вкратце, он позволяет получить доступ к встроенной базе данных HyperSQL или HSQLDB и совместно с обходом аутентификации предоставляет возможность удаленного неавторизованного выполнения кода на сервере Tomcat.
В начале июля компания F5 Networks выпустила исправление для критической уязвимости в конфигурационном интерфейсе популярного контроллера доставки приложений BIG-IP, которая получила максимальную оценку в 10 баллов по шкале CVSSv3. Владельцам устройств, которые не могли сразу же применить исправление, компания порекомендовала принять меры предотвращения эксплуатации уязвимости
Напомним, исследователь безопасности из компании NCC Group Рич Уоррен (Rich Warren) зафиксировал ряд кибератак на сетевые устройства F5 BIG-IP. По словам эксперта, злоумышленники эксплуатируют уязвимость в конфигурационном интерфейсе популярного контроллера доставки приложений BIG-IP с целью похитить пароли администратора со взломанных устройств, установить криптовалютные майнеры, вредоносную программу DvrHelper (вариант Mirai), а также имплант GoMet с открытым исходным кодом на основе языка Golang.
Атаки начались сразу после того, как ИБ-специалисты начали активно публиковать PoC-коды для эксплуатации уязвимости.