Explotación masiva de F5 BIG-IP CVE-2021-22986 por botnets de criptominería.



Nuestros sensores y honeypots desplegados en Latinoamérica han comenzado a registrar una explotación masiva de instancias F5 BIG-IP vulnerables a CVE-2021-22986.


El objetivo de los actores de amenaza es comprometer los servidores para instalar mineros de criptomonedas.


LA PRIMERA OLEADA


La primera oleada de ataques detectados (21-03-2021 23:55) realiza la descarga y ejecución desde http://118[.]107[.]43[.]174/upload/files/run[.]sh.

La descarga activa al momento de escribir este post.

Contenido del archivo run.sh, el cual ejecuta el proceso de instalación del minero.


LA SEGUNDA OLEADA


La segunda oleada de ataques detectados (22-03-2021 06:55) realiza la descarga desde http://124[.]158[.]4[.]235:8080/docs/nexusa[.]txt para luego ejecutar el binario en una segunda explotación.

Contenido de nexusa.txt.

Contenido de http://27[.]1[.]1[.]34:8080/docs/solr[.]sh.


Configuración del minero desde http://136[.]243[.]19[.]213:8885/docs/config[.]json.


Para hacer una estimación del alcance de estas botnets, revisamos el sitio pastebin que se encuentra dentro del proceso de instalación el cual muestra un total de 10.435 visitas.


INDICADORES DE COMPROMISO


1er Ataque:

http://118[.]107[.]43[.]174/upload/files/run[.]sh

http://118[.]107[.]43[.]174/upload/files/xmrig[.]tar[.]gz

2do Ataque:

http://124[.]158[.]4[.]235:8080/docs/nexusa[.]txt

http://136[.]243[.]19[.]213:8885/docs/config[.]json

http://222[.]122[.]47[.]27:2143/auth/java[.]exe

http://27[.]1[.]1[.]34:8080/docs/solr[.]sh

IPs origen:

45.83.29.58

222.108.2.20

37.120.194.100

176.222.34.116

132.145.111.134

173.82.240.245

176.222.34.116

173.237.207.45

104.233.164.29

139.162.186.127

35.235.96.53

53.96.235.35

13.56.200.228

34.82.84.224

15.228.52.25

45.56.89.140

35.203.110.60

159.89.150.40

45.33.71.63

119.236.147.84

54.253.20.132

157.175.47.23

15.236.131.189

223.75.252.90

185.89.250.187

47.75.102.144


RECOMENDACIÓN DE SEGURIDAD


Instalara el parche de seguridad directo del sitio del fabricante: https://support.f5.com/csp/article/K03009991


Seguiremos informando,

Buena semana para todos!


Entradas Recientes

Ver todo

CronUp nace con la misión de maximizar la tranquilidad de las empresas, anticipando situaciones de riesgo que puedan afectar a sus procesos de negocio, provisión de servicios a clientes y canales electrónicos expuestos a Internet.

Escríbenos a

Síguenos en

  • Icono social Twitter
  • Icono social LinkedIn
  • Facebook icono social