Chiến dịch khai thác lỗ hổng thực thi mã từ xa trên các hệ thống sử dụng F5 BIG-IP - Phần II

Chiến dịch khai thác lỗ hổng thực thi mã từ xa trên các hệ thống sử dụng F5 BIG-IP - Phần II

Phần II: Chiến dịch khai thác lỗ hổng thực thi mã từ xa trên các hệ thống sử dụng F5 BIG-IP

Theo số liệu của Enlyft; có tới 36.646 công ty trên thế giới sử dụng F5 BIG-IP, chiếm 29,17% toàn bộ số công ty sử dụng các sản phẩm Network Management. So với các sản phẩm Wireshark và Solarwinds thì BIG-IP chiếm tỉ lệ vượt trội.

Hình 2. Thị phần của các sản phẩm Network Management (Nguồn: Enlyft)

Hiện tại, có gần 16,000 địa chỉ IP sử dụng BIG-IP được public trên Shodan, cho thấy sự phổ biến của sản phẩm này.

Hình 3. Số lượng địa chỉ IP trên thế giới public sử dụng BIG-IP (Nguồn: Shodan)

Trích từ công văn số 637_CATTT_NCSC, V/v: Lỗ hổng bảo mật CVE-2022-1388 ảnh hưởng Nghiêm trọng trong sản phẩm BIG-IP; qua đánh giá sơ bộ của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Cục An toàn thông tin; Việt Nam có hàng trăm hệ thống đang sử dụng sản phẩm F5 BIG-IP để bảo vệ cho các hệ thống quan trọng trên nền tảng web như dịch vụ công, các hệ thống tài chính, hệ thống quản trị dữ liệu,…Do đó, hệ thống này sẽ là mục tiêu mà các đối tượng tấn công ưu tiên nhắm vào, từ đó thực hiện các cuộc tấn công nguy hiểm hơn.

Theo thống kê của Shodan, tại Việt Nam có hơn 30 IP sử dụng BIG-IP được public trên không gian mạng có nguy cơ tồn tại lỗ hổng CVE-2022-1388.

Hình 4. Số lượng IP sử dụng BIG-IP tại Việt Nam (Nguồn: Shodan)

Trong quá trình giám sát nguy cơ trên không gian mạng, Viettel Threat Intelligence ghi nhận chiến dịch tấn công lợi dụng lỗ hổng CVE-2022-1388 trên BIG-IP tại Việt Nam. Tin tặc tiến hành rà quét và khai thác lỗ hổng để thực thi mã từ xa, sau đó tải lên webshell, lấy cắp thông tin nhạy cảm và tiến hành các hành vi độc hại trên hệ thống.

Thời gian: Từ 07/05/2022 đến nay.

Cách thức tấn công

1. Tin tặc tiến hành rà soát các máy chủ sử dụng BIG-IP public ra ngoài internet sau khi xuất hiện thông tin về lỗ hổng CVE-2022-1388.

2. Tin tặc tiến hành khai thác lỗ hổng bằng cách gửi gói tin HTTP sử dụng phương thức POST tới endpoint /mgmt/tm/util/bash.

Kiểm tra thư mục /var/log/restjavad cho thấy tin tặc đã thực hiện rà quét và khai thác lỗ hổng từ ngày 7/5. Tại thời điểm này, PoC của lỗ hổng chưa được công bố trên không gian mạng.

Status: 200 cho thấy hệ thống tồn tại lỗ hổng và tin tặc đã khai thác thành công.

3. Sau khi khai thác lỗ hổng thành công để thực thi mã từ xa, tin tặc tiến hành tải lên webshell.

Tin tặc thay thế tệp mặc định /usr/local/www/tmui/WEB-INF/classes/org/apache/jsp/tmui/login/index_jsp.class trong thư mục cấu hình TMUI, sau đó tiến hành khởi động lại tomcat để load tệp cấu hình vừa tải lên.

Webshell sau khi giải mã bằng base64:

Dễ dàng nhận thấy trong webshell, tin tặc kiểm tra thông tin username, password trước đó và tạo một form đăng nhập trong webshell chứa những hành vi độc hại sử dụng cho mục đích lâu dài khác.

4. Tin tặc tiếp tục trích xuất dữ liệu nhạy cảm từ hệ thống, trong đó có các thông tin rất quan trọng như các tệp cấu hình /config/bigip.conf/config/bigip_user.conf hay các tệp nhạy cảm như /etc/shadow, /etc/passwd, ...

IOCs

Hash webshell

MD5

· 6d5a5ab9fc2955a2565aa6de03a8e25d

SHA1

· f244a314a6eb063e86804798614b80c28578aca0

SHA256

· d473ff796e5f99282f19f429ea2527a58c288bd11ce21e5a4f13028247fcb36b

IP tấn công:

· 194[.]124.213.92

Lưu ý: Tin tặc có thể sử dụng VPN cho địa chỉ trên trong việc rà quét, khai thác lỗ hổng. (Không sử dụng để add vào hệ thống)

Dấu hiệu nhận biết

Quản trị viên có thể kiểm tra các dấu hiệu rà quét, khai thác lỗ hổng của tin tặc trong các tệp log:

· /var/log/audit

· /var/log/restjavad-audit.0.log

Ví dụ:

· [I][1111][00 May 0000 00:00:00 UTC][ForwarderPassThroughWorker] {"user":"local/admin","method":"POST","uri":"http://localhost:8100/mgmt/tm/util/bash","status":200,"from":"nnn.nnn.nnn.nnn"}

· Entry trên cho thấy một truy vấn từ địa chỉ nnn.nnn.nnn.nnn chạy lệnh run util bash -c id.

Gói tin tin tặc sử dụng để khai thác thác lỗ hổng có các dấu hiệu sau:

· Là truy vấn HTTP sử dụng phương thức POST.

· Truy vấn tới endpoint “/mgmt/tm/util/bash

· Chứa Header "Connection: X-F5-Auth-Token"

Rule Suricata:

alert http any any -> any any (msg:"Detecting CVE-2022-1388 attack"; content:"POST"; http_method; content:"/mgmt/tm/util/bash"; http_uri; content:"X-F5-Auth-Token"; classtype:web-application-attack; sid:20223688; rev:1;)

Timeline

- 04/05/2022, F5 công bố thông tin Advisory về lỗ hổng.

- 07/05/2022, các nhóm tin tặc bắt đầu rà quét, khai thác lỗ hổng trong thực tế.

- 08/05/2022, PoC của lỗ hổng được công bố trên không gian mạng.

Reference: