Lista degli IP malevoli da bloccare in scansioni attive su F5 BIG-IP iControl REST vulnerability

Emanuele De Lucia : 14 Maggio 2022 12:22

Autore: Emanuele de Lucia, Cluster25
Data Pubblicazione: 14/05/2022

Come riportato qualche giorno fa da RHC, F5 ha pubblicato un aggiornamento cumulativo di 43 vulnerabilità (tra le quali 2 rilevate dal Red Team Research di TIM), per le sue apparecchiature di rete.

Una tra queste è una colossale vulnerabilità con severity critical, da 9,8 in CVSSv3, che consente la totale compromissione dei dispositivi per poter poi accedere alle reti, anche se sono stati rilevati fenomeni di totale cancellazione dei file all’interno degli apparati.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Come di consueto, una volta trapelati online gli exploit PoC, il cybercrime inizia a scrivere i suoi script per avviare delle scansioni preliminari per poi procedere con i successivi attacchi.

La community du RHC ha rilevato un elenco di indirizzi IP attualmente impegnati in scan massivi per trovare e sfruttare gli hosts vulnerabili al CVE-2022-1388 (F5 BIG-IP iControl REST vulnerability).

Per poter agevolare la gestione della minacce, RHC e CLuster25 raccomandano il blocco di questi IP in quanto si tratta di scansioni attive da parte di cybercriminali.

134.122.188.241
94.198.42.75
92.223.85.254
91.241.19.50
85.203.45.26
46.8.198.82
46.249.49.29
45.86.202.119
45.225.163.9
37.221.67.237
210.182.85.3
209.141.58.146
194.124.213.92
193.110.95.34
189.1.168.191
185.220.101.53
185.220.101.44
184.75.223.203
18.144.60.237
167.99.209.40
158.69.0.205
149.34.51.113
120.59.46.4
114.124.177.58
114.124.142.26
112.96.106.59
112.2.230.13
195.206.105.217
185.225.234.195
185.220.100.252
185.220.100.251
185.219.134.179
185.212.149.207
139.177.207.204
135.125.190.144
113.108.133.162
110.191.219.197
103.150.186.119
103.120.253.252
81.157.162.197
37.120.247.151
37.120.234.253
5.188.122.161

La vulnerabilità insiste su F5 BIG-IP 16.1.x versioni precedenti a 16.1.2.2, 15.1.x versioni precedenti a 15.1.5.1, 14.1.x versioni precedenti a 14.1.4.6, 13.1.x versioni precedenti a 13.1.5 e tutte le 12.1.x e 11.6.x, dove le richieste non divulgate possono ignorare l’autenticazione REST di iControl. Nota: le versioni software che hanno raggiunto la fine del supporto tecnico (EoTS) non sono state valutate come affette dalla vulnerabilità.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Emanuele De Lucia
Laureato in Informatica (con master in Computer Security e un master alla Stanford University), ha lavorato come analista nel Security Operation Center (Se.OC o SOC) in una TELCO italiana e nel settore spaziale. Dirige un team internazionale di ricercatori focalizzato sulla Threat Intelligence, sul reverse engineering e la risposta agli incidenti.

Lista degli articoli