Sicherheitslücke: Ungepatchte Big-IP-Netzwerkgeräte werden aktiv angegriffen

Nach der Shitrix genannten Sicherheitslücke in Citrix-Boxen wird eine ähnlich schwerwiegende Sicherheitslücke (CVE-2020-5902) in Big-IP-Netzwerkgeräten von F5 aktiv ausgenutzt. Mit ihr können Angreifer unter anderem die Big-IP-Administrationsoberfläche übernehmen und Code aus der Ferne ausführen, sofern diese über das Internet erreichbar ist.

Die Geräte können als Traffic Shaper, Load Balancer, Firewalls oder Gateway eingesetzt werden und sind vor allem in Setups von großen Firmen weit verbreitet. Ein Update steht zwar seit Anfang Juli zur Verfügung, wurde jedoch auf vielen Geräten noch nicht eingespielt.

Der Sicherheitsforscher Rich Warren von der NCC-Gruppe konnte auf seinen Big-IP-Honeypots bereits mehrere Angriffe von verschiedenen IP-Adressen detektieren. Die Angreifer versuchen seit der Nacht vom 3. auf den 4. Juli 2020, die Geräte zu hacken und an die Administrator-Passwörter zu gelangen.

"Bisher haben wir gesehen, dass ein Angreifer verschiedene Dateien aus den Honeypots liest und Befehle über eine eingebaute .jsp-Datei ausführt. Damit waren sie in der Lage, die gehashten Admin-Passwörter, Einstellungen und so weiter auszulesen", sagte Warren dem Onlinemagazin ZDnet.

Mit der Sicherheitslücke lassen sich jedoch auch "Dateien erstellen oder löschen, Dienste deaktivieren, Informationen abfangen, beliebige Systembefehle und Java-Code ausführen, das System vollständig kompromittieren und weitere Ziele wie das interne Netzwerk angreifen", erklärte Mikhail Klyuchnikov von der Sicherheitsfirma Positive Technologies, die die Sicherheitslücke entdeckt und gemeldet hatte, dem Onlinemagzin The Register.

Betroffen sind die Firmware-Versionen 11 bis 15 von Big-IP. Administratoren, die die gepatchten Versionen 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6 und 15.1.0.4 nicht eingespielt haben, sollten diese dringend aktualisieren und ihre Systeme auf Angriffe und Veränderungen untersuchen.