Blog

Explotación masiva de F5 BIG-IP CVE-2021-22986 por botnets de criptominería.

Explotación Activa CVE-2021-22986 F5 BIG-IP

Nuestros sensores y honeypots desplegados en Latinoamérica han comenzado a registrar una explotación masiva de instancias F5 BIG-IP vulnerables a CVE-2021-22986.

El objetivo de los actores de amenaza es comprometer los servidores para instalar mineros de criptomonedas.

La Primera Oleada

La primera oleada de ataques detectados (21-03-2021 23:55) realiza la descarga y ejecución desde http://118[.]107[.]43[.]174/upload/files/run[.]sh.

La descarga activa al momento de escribir este post.

Contenido del archivo run.sh, el cual ejecuta el proceso de instalación del minero.

La Segunda Oleada

La segunda oleada de ataques detectados (22-03-2021 06:55) realiza la descarga desde http://124[.]158[.]4[.]235:8080/docs/nexusa[.]txt para luego ejecutar el binario en una segunda explotación.

Contenido de nexusa.txt.

Contenido de http://27[.]1[.]1[.]34:8080/docs/solr[.]sh.

Configuración del minero desde http://136[.]243[.]19[.]213:8885/docs/config[.]json.

Para hacer una estimación del alcance de estas botnets, revisamos el sitio pastebin que se encuentra dentro del proceso de instalación el cual muestra un total de 10.435 visitas.

Indicadores de Compromiso

1er Ataque:

http://118[.]107[.]43[.]174/upload/files/run[.]sh

http://118[.]107[.]43[.]174/upload/files/xmrig[.]tar[.]gz

2do Ataque:

http://124[.]158[.]4[.]235:8080/docs/nexusa[.]txt

http://136[.]243[.]19[.]213:8885/docs/config[.]json

http://222[.]122[.]47[.]27:2143/auth/java[.]exe

http://27[.]1[.]1[.]34:8080/docs/solr[.]sh

IPs origen:

  • 45.83.29.58
  • 222.108.2.20
  • 37.120.194.100
  • 176.222.34.116
  • 132.145.111.134
  • 173.82.240.245
  • 176.222.34.116
  • 173.237.207.45
  • 104.233.164.29
  • 139.162.186.127
  • 35.235.96.53
  • 53.96.235.35
  • 13.56.200.228
  • 34.82.84.224
  • 15.228.52.25
  • 45.56.89.140
  • 35.203.110.60
  • 159.89.150.40
  • 45.33.71.63
  • 119.236.147.84
  • 54.253.20.132
  • 157.175.47.23
  • 15.236.131.189
  • 223.75.252.90
  • 185.89.250.187
  • 47.75.102.144

Recomendaciones de Seguridad

Instalara el parche de seguridad directo del sitio del fabricante: https://support.f5.com/csp/article/K03009991 Seguiremos informando. Buena semana para todos!

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Ransomware

¿Qué es NO MORE RANSOM?

No More Ransom es un portal en línea lanzado en julio de 2016 y una asociación público-privada creada por las

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad