ช่องโหว่บน F5 BIG-IP ที่ถูกเปิดเผยออกมาเมื่อเร็วๆ นี้ เริ่มถูกนำมาใช้ในการโจมตีโดยการพยายามลบ file system บนเครื่อง BIG-IP ของเหยื่อ เพื่อทำให้ระบบไม่สามารถเข้าใช้งานได้

เมื่อสัปดาห์ที่แล้ว F5 เปิดเผยช่องโหว่หมายเลข CVE-2022-1388 ซึ่งทำให้ผู้โจมตีสามารถสั่งรันคำสั่งบนอุปกรณ์ BIG-IP ด้วยสิทธิ์ 'root' โดยไม่ต้องมีการตรวจสอบสิทธิ์ เนื่องจากระดับความอันตรายของช่องโหว่ดังกล่าว F5 แนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์โดยเร็วที่สุด

ไม่กี่วันต่อมานักวิจัยปล่อย exploits ที่ใช้สำหรับทดสอบการโจมตีออกสู่สาธารณะทั้งทาง Twitter และ GitHub ซึ่งทำให้ผู้โจมตีทั่วไปสามารถนำมาปรับใช้ในการโจมตีได้

แม้ว่าการโจมตีส่วนใหญ่จะใช้เพื่อ drop webshells เพื่อใช้ในการเข้าถึงเครือข่ายในเบื้องต้น, ขโมยคีย์ SSH และระบุข้อมูลบนระบบ แต่ล่าสุดทาง SANS Internet Storm Center พบว่ามีการโจมตีสองครั้งที่โจมตีอุปกรณ์ BIG-IP ในลักษณะที่ร้ายแรงกว่ามาก

SANS กล่าวว่า honeypots ของพวกเขาพบการโจมตีสองครั้งที่มาจาก IP 177.54.127[.]111 ที่มีการสั่งรันคำสั่ง 'rm -rf /' บนอุปกรณ์ BIG-IP ของเป้าหมาย ซึ่งคำสั่งนี้เป็นความพยายามจะลบไฟล์ทั้งหมดบนระบบ Linux ของอุปกรณ์ BIG-IP เนื่องจากช่องโหว่ดังกล่าวทำให้ผู้โจมตีมีสิทธิ์ root ในระบบปฏิบัติการ Linux คำสั่ง rm -rf / จึงสามารถลบไฟล์ได้เกือบทุกไฟล์ รวมถึงไฟล์ configuration ที่จำเป็นสำหรับอุปกรณ์

การโจมตีรูปแบบนี้อาจยังพบไม่มากนัก เพราะผู้โจมตีส่วนใหญ่ต้องการเข้าควบคุมอุปกรณ์มากกว่าสร้างความเสียหาย

บริษัทข่าวกรองด้านภัยคุกคามความปลอดภัยทางไซเบอร์ Bad Packets และ GreyNoise กล่าวว่าพวกเขาไม่พบการโจมตีในลักษณะดังกล่าวบน honeypots ของพวกเขา

Kimber นักวิจัยของ GreyNoise กล่าวว่าส่วนใหญ่พฤติกรรมที่เห็นจะเป็นการ drop webshells, exfiltrate configs หรือเรียกใช้คำสั่งเพื่อสร้างบัญชีผู้ดูแลระบบบนอุปกรณ์ ซึ่งการโจมตีที่เกิดขึ้นทำให้ผู้ดูแลระบบจำเป็นต้องอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุด และไม่เปิดให้เข้าถึงหน้า management ของ BIG-IP จากภายนอก

ที่มา : bleepingcomputer.