Lista degli IP malevoli da bloccare in scansioni attive su F5 BIG-IP iControl REST vulnerability

Emanuele De Lucia : 14 Maggio 2022 12:22

Autore: Emanuele de Lucia, Cluster25
Data Pubblicazione: 14/05/2022

Come riportato qualche giorno fa da RHC, F5 ha pubblicato un aggiornamento cumulativo di 43 vulnerabilità (tra le quali 2 rilevate dal Red Team Research di TIM), per le sue apparecchiature di rete.

Una tra queste è una colossale vulnerabilità con severity critical, da 9,8 in CVSSv3, che consente la totale compromissione dei dispositivi per poter poi accedere alle reti, anche se sono stati rilevati fenomeni di totale cancellazione dei file all’interno degli apparati.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Come di consueto, una volta trapelati online gli exploit PoC, il cybercrime inizia a scrivere i suoi script per avviare delle scansioni preliminari per poi procedere con i successivi attacchi.

La community du RHC ha rilevato un elenco di indirizzi IP attualmente impegnati in scan massivi per trovare e sfruttare gli hosts vulnerabili al CVE-2022-1388 (F5 BIG-IP iControl REST vulnerability).

Per poter agevolare la gestione della minacce, RHC e CLuster25 raccomandano il blocco di questi IP in quanto si tratta di scansioni attive da parte di cybercriminali.

134.122.188.241
94.198.42.75
92.223.85.254
91.241.19.50
85.203.45.26
46.8.198.82
46.249.49.29
45.86.202.119
45.225.163.9
37.221.67.237
210.182.85.3
209.141.58.146
194.124.213.92
193.110.95.34
189.1.168.191
185.220.101.53
185.220.101.44
184.75.223.203
18.144.60.237
167.99.209.40
158.69.0.205
149.34.51.113
120.59.46.4
114.124.177.58
114.124.142.26
112.96.106.59
112.2.230.13
195.206.105.217
185.225.234.195
185.220.100.252
185.220.100.251
185.219.134.179
185.212.149.207
139.177.207.204
135.125.190.144
113.108.133.162
110.191.219.197
103.150.186.119
103.120.253.252
81.157.162.197
37.120.247.151
37.120.234.253
5.188.122.161

La vulnerabilità insiste su F5 BIG-IP 16.1.x versioni precedenti a 16.1.2.2, 15.1.x versioni precedenti a 15.1.5.1, 14.1.x versioni precedenti a 14.1.4.6, 13.1.x versioni precedenti a 13.1.5 e tutte le 12.1.x e 11.6.x, dove le richieste non divulgate possono ignorare l’autenticazione REST di iControl. Nota: le versioni software che hanno raggiunto la fine del supporto tecnico (EoTS) non sono state valutate come affette dalla vulnerabilità.

Emanuele De Lucia
Laureato in Informatica (con master in Computer Security e un master alla Stanford University), ha lavorato come analista nel Security Operation Center (Se.OC o SOC) in una TELCO italiana e nel settore spaziale. Dirige un team internazionale di ricercatori focalizzato sulla Threat Intelligence, sul reverse engineering e la risposta agli incidenti.

Lista degli articoli