China-Nexus Threat Group ‘Velvet Ant’ 利用 F5 負載均衡器進行持久性攻擊

描述

Sygnia 最近發表的一項調查描述了一個威脅行為者使用 F5 BIG-IP 來獲得持久性並協助資訊外洩。這是 F5 對該調查的回應。

環境

所有 BIG-IP 產品

原因

建議的行動

為了保護系統免受利用,F5 建議客戶:

  • 運行最新版本以優化系統的安全性和性能
  • 不要將控制平面網路暴露給包括互聯網在內的不受信任來源
  • 使用 BIG-IP iHealth 診斷工具來驗證系統的正常運行,並確保其以最佳效率運行

額外資訊

根據第三方調查指出:“兩台 F5 設備運行著過時且存在漏洞的操作系統。威脅行動者可能利用其中一個漏洞來遠端存取這些設備。”

F5 定期發佈安全通知及其他安全公告(參見 K12201527),旨在讓客戶瞭解可能影響其系統的 F5 漏洞情況,並提供修補和更新步驟以確保安全。

F5 對於此次事件沒有比公開分析更多的資訊,也沒有意識到任何零日或未知漏洞被威脅行動者利用。根據公開信息顯示,設備可能被入侵是因為其管理界面暴露在互聯網上(這與 F5 的建議和最佳實踐相悖),且運行著一個已知的 BIG-IP 軟體版本,該版本存在已公開的漏洞,有修復版本可用。」

F5建議客戶查閱 K13092:保護BIG-IP系統存取概述,以獲得有關保護管理界面存取和確保運行最新版本的指導。

第三方調查列出了一些可能的威脅指標(IOCs),但F5未能進行驗證。然而,關注的客戶可能希望檢查其系統是否存在以下情況:

  • 對/etc/rc.local的修改以運行未知的二進制文件 (/shared/tmp/pmcd and /shared/tmp/mcdp per the third-party article)
  • 在任何位置存在以下二進制文件:
    • pmcd
    • mcdp
    • samrid
    • esrde

第三方調查列出了這些二進制文件的SHA1 hashes,但F5尚未進行驗證。

F5的iHealth診斷服務具有啟發式功能,可警報常見問題,例如:

  • 從互聯網主機存取管理界面(配置工具或SSH)
  • 弱密碼配置
  • 系統上運行未知的二進制文件
  • 系統文件的可疑修改

此外,sys-icheck實用工具將警告對某些文件(including /etc/rc.local)的修改,運行此工具的指導可參見K9118:sys-icheck實用工具概述。僅文件修改本身並不足以證明存在入侵,管理員仍需手動檢查文件以確定修改是否具有惡意性。

如果您有任何擔憂並懷疑受到入侵,F5建議客戶查閱 K11438344:懷疑BIG-IP系統安全受到威脅時的考慮和指導。

總結而言,F5感謝與第三方合作,代表我們的客戶識別和解決問題的機會。隨著組織努力應對基礎設施日益增長的複雜性和網路威脅的日益精密化,我們建議客戶:1)運行最新版本以優化系統的安全性和性能,2)不要將控制平面網路暴露給不受信任的來源,包括互聯網,以及3)利用BIG-IP iHealth診斷工具驗證系統的正常運行,確保系統運行效率最高。注意:mcpd是位於/bin/mcpd的合法F5二進制文件,不應與第三方調查中提到的’mcdp’混淆。

F5的 iHealth 診斷服務具有啟發式功能,可警報常見問題,例如:

  • 從互聯網主機存取管理界面(配置工具或SSH)
  • 密碼配置弱
  • 系統上運行未知的二進制文件
  • 系統文件的可疑修改

此外,sys-icheck實用工具將警告對某些文件 (including /etc/rc.local) 的修改,運行此工具的指導可參見K9118:sys-icheck實用工具概述。僅文件修改本身並不足以證明存在入侵,管理員仍需手動檢查文件以確定修改是否具有惡意性。

如果您有任何擔憂並懷疑受到入侵,F5建議客戶查閱K11438344:懷疑BIG-IP系統安全受到威脅時的考慮和指導。

總結而言,F5感謝與第三方合作,代表我們的客戶識別和解決問題的機會。隨著組織努力應對基礎設施日益增長的複雜性和網路威脅的日益精密化,我們建議客戶:1)運行最新版本以優化系統的安全性和性能,2)不要將控制平面網路暴露給不受信任的來源,包括互聯網,以及3)利用BIG-IP iHealth診斷工具驗證系統的正常運行,確保系統運行效率最高。

資訊來源:MyF5