Active DDoS malware payload detected:
http://panel.devilsden[.]net/iot.sh
http://185.172.111.233:999/sisi/*
(https://t.co/qmOnNTxywH)

Exploit attempt source IP: 2.57.122.96 (??)

Target: F5 BIG-IP TMUI RCE vulnerability CVE-2020-5902 (https://t.co/y5Uor8B0qi) #threatintel pic.twitter.com/oprQHizid7

— Bad Packets (@bad_packets) July 6, 2020

На прошлой неделе мы рассказывали о крайне опасной RCE-проблеме, исправленной в конфигурационном интерфейсе популярного контроллера доставки приложений BIG-IP. Данная уязвимость была обнаружена экспертами Positive Technologies, получила идентификатор CVE-2020-5902 и набрала 10 баллов по шкале CVSSv3 (из 10 возможных), что соответствует наивысшему уровню опасности. Эксплуатируя найденный экспертами баг, злоумышленник получает возможность выполнять команды от лица неавторизованного пользователя и полностью скомпрометировать систему, например, перехватить трафик веб-ресурсов, которым управляет контроллер. Атака может быть реализована удаленно. Аналитики Positive Technologies писали, что по состоянию на конец июня 2020 года в мире насчитывалось свыше 8000 уязвимых устройств, доступных из интернета, из них 40% — в США, 16% — в Китае, 3% — на Тайване, по 2,5% — в Канаде и Индонезии. К счастью, в России было обнаружено менее 1% уязвимых устройств.­ При этом, нужно отметить, что инженеры F5 уже выпустили исправления, которые организациям было рекомендовано немедленно установить. ИБ-исследователи писали, что по масштабности данная проблема во многом похожа на RCE-уязвимости в Pulse Secure VPN и сетевых шлюзах Citrix. Такие баги очень популярны у злоумышленников и обычно используются ими, чтобы закрепляться в корпоративных сетях (после этого хакеры внедряют в сети организаций бэкдоры, крадут конфиденциальные файлы или разворачивают вымогательское ПО). К примеру, на такие уязвимости часто полагаются хак-группы REvil, Maze и Netwalker, что позволяет им компрометировать крупнейшие компании мира. На днях эксперты уже предупреждали о доступности PoC-эксплоитов для этой проблемы и начале атак на уязвимость. Эксплоиты и техническая информация были обнародованы вскоре после раскрытия данных о самой уязвимости, причем исследователи отмечали, что весь эксплоит умещается в один твит. Теперь же специалисты компании Bad Packets подсчитали, что примерно 635 уникальных поставщиков сетевых услуг по-прежнему хостят уязвимые эндпоинты BIG-IP, и среди них есть правительственные организации, образовательные учреждения, медицинские и финансовые компании из списка Fortune 500. Если ранее хакеры искали уязвимые системы и пытались получить пароли от них, то теперь аналитики Bad Packets пишут, что обнаружены атаки на CVE-2020-5902, направленные на распространение DDoS-малвари.­ Причем эта активность исходит с IP-адреса, который ранее уже был замешан в другой вредоносной деятельности. Active DDoS malware payload detected: http://panel.devilsden_