Blog

Explotación masiva de F5 BIG-IP CVE-2021-22986 por botnets de criptominería.

Explotación Activa CVE-2021-22986 F5 BIG-IP

Nuestros sensores y honeypots desplegados en Latinoamérica han comenzado a registrar una explotación masiva de instancias F5 BIG-IP vulnerables a CVE-2021-22986.

El objetivo de los actores de amenaza es comprometer los servidores para instalar mineros de criptomonedas.

La Primera Oleada

La primera oleada de ataques detectados (21-03-2021 23:55) realiza la descarga y ejecución desde http://118[.]107[.]43[.]174/upload/files/run[.]sh.

La descarga activa al momento de escribir este post.

Contenido del archivo run.sh, el cual ejecuta el proceso de instalación del minero.

La Segunda Oleada

La segunda oleada de ataques detectados (22-03-2021 06:55) realiza la descarga desde http://124[.]158[.]4[.]235:8080/docs/nexusa[.]txt para luego ejecutar el binario en una segunda explotación.

Contenido de nexusa.txt.

Contenido de http://27[.]1[.]1[.]34:8080/docs/solr[.]sh.

Configuración del minero desde http://136[.]243[.]19[.]213:8885/docs/config[.]json.

Para hacer una estimación del alcance de estas botnets, revisamos el sitio pastebin que se encuentra dentro del proceso de instalación el cual muestra un total de 10.435 visitas.

Indicadores de Compromiso

1er Ataque:

http://118[.]107[.]43[.]174/upload/files/run[.]sh

http://118[.]107[.]43[.]174/upload/files/xmrig[.]tar[.]gz

2do Ataque:

http://124[.]158[.]4[.]235:8080/docs/nexusa[.]txt

http://136[.]243[.]19[.]213:8885/docs/config[.]json

http://222[.]122[.]47[.]27:2143/auth/java[.]exe

http://27[.]1[.]1[.]34:8080/docs/solr[.]sh

IPs origen:

  • 45.83.29.58
  • 222.108.2.20
  • 37.120.194.100
  • 176.222.34.116
  • 132.145.111.134
  • 173.82.240.245
  • 176.222.34.116
  • 173.237.207.45
  • 104.233.164.29
  • 139.162.186.127
  • 35.235.96.53
  • 53.96.235.35
  • 13.56.200.228
  • 34.82.84.224
  • 15.228.52.25
  • 45.56.89.140
  • 35.203.110.60
  • 159.89.150.40
  • 45.33.71.63
  • 119.236.147.84
  • 54.253.20.132
  • 157.175.47.23
  • 15.236.131.189
  • 223.75.252.90
  • 185.89.250.187
  • 47.75.102.144

Recomendaciones de Seguridad

Instalara el parche de seguridad directo del sitio del fabricante: https://support.f5.com/csp/article/K03009991 Seguiremos informando. Buena semana para todos!

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required