Blog

Explotación masiva de F5 BIG-IP CVE-2021-22986 por botnets de criptominería.

Explotación Activa CVE-2021-22986 F5 BIG-IP

Nuestros sensores y honeypots desplegados en Latinoamérica han comenzado a registrar una explotación masiva de instancias F5 BIG-IP vulnerables a CVE-2021-22986.

El objetivo de los actores de amenaza es comprometer los servidores para instalar mineros de criptomonedas.

La Primera Oleada

La primera oleada de ataques detectados (21-03-2021 23:55) realiza la descarga y ejecución desde http://118[.]107[.]43[.]174/upload/files/run[.]sh.

La descarga activa al momento de escribir este post.

Contenido del archivo run.sh, el cual ejecuta el proceso de instalación del minero.

La Segunda Oleada

La segunda oleada de ataques detectados (22-03-2021 06:55) realiza la descarga desde http://124[.]158[.]4[.]235:8080/docs/nexusa[.]txt para luego ejecutar el binario en una segunda explotación.

Contenido de nexusa.txt.

Contenido de http://27[.]1[.]1[.]34:8080/docs/solr[.]sh.

Configuración del minero desde http://136[.]243[.]19[.]213:8885/docs/config[.]json.

Para hacer una estimación del alcance de estas botnets, revisamos el sitio pastebin que se encuentra dentro del proceso de instalación el cual muestra un total de 10.435 visitas.

Indicadores de Compromiso

1er Ataque:

http://118[.]107[.]43[.]174/upload/files/run[.]sh

http://118[.]107[.]43[.]174/upload/files/xmrig[.]tar[.]gz

2do Ataque:

http://124[.]158[.]4[.]235:8080/docs/nexusa[.]txt

http://136[.]243[.]19[.]213:8885/docs/config[.]json

http://222[.]122[.]47[.]27:2143/auth/java[.]exe

http://27[.]1[.]1[.]34:8080/docs/solr[.]sh

IPs origen:

  • 45.83.29.58
  • 222.108.2.20
  • 37.120.194.100
  • 176.222.34.116
  • 132.145.111.134
  • 173.82.240.245
  • 176.222.34.116
  • 173.237.207.45
  • 104.233.164.29
  • 139.162.186.127
  • 35.235.96.53
  • 53.96.235.35
  • 13.56.200.228
  • 34.82.84.224
  • 15.228.52.25
  • 45.56.89.140
  • 35.203.110.60
  • 159.89.150.40
  • 45.33.71.63
  • 119.236.147.84
  • 54.253.20.132
  • 157.175.47.23
  • 15.236.131.189
  • 223.75.252.90
  • 185.89.250.187
  • 47.75.102.144

Recomendaciones de Seguridad

Instalara el parche de seguridad directo del sitio del fabricante: https://support.f5.com/csp/article/K03009991 Seguiremos informando. Buena semana para todos!

Share on facebook
Share on linkedin
Share on twitter
Share on email
Share on whatsapp

Artículos Relacionados

Invitación

Invitación: DevSecOps Spain 2021

Como ya muchos de nosotros sabemos, DevOps es un conjunto de prácticas y herramientas que combinan el desarrollo de software

Últimos Artículos

Últimos Tweets

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad