F5 BIG-IP网络产品七月被爆有重大漏洞后,安全厂商及美国政府先后警告,一个伊朗黑客组织正在利用这些漏洞发动攻击。
安全厂商Positive Technologies七月初披露F5 Networks的网络及安全产品BIG IP应用传送控制器(application delivery controller,ADC)中,编号CVE-2020-5902的安全漏洞,可让不具授权的远程攻击者执行指令,并取得系统完整控制权,包括拦截流经该设备的应用流量。
7月底美国网络安全暨基础架构案全局(CISA)发布公告对美国政府单位和企业警告,已经有个组织正在扫描及侦查这项漏洞。ZDNet则报道美国联邦调查局(FBI)也发出警告,据信这个组织名为Fox Kitten或Parisite的伊朗黑客组织,其行动是为其他黑客组织“打前锋”。
安全公司Crowdstrike本周发布其分析结果,指出Fox Kitten(或该公司称的Pioneer Kitten)并非伊朗政府养的黑客,而是一个以盈利为目的黑客组织,它通过开采网络漏洞进入企业,再以嵌入式程序及键盘监听程序窃取受害企业的网络登录帐密,并且当地下论坛兜售谋利。安全公司研判上个月该组织将取得的企业资料出售给了伊朗政府黑客组织。
这个组织主要锁定美国、北美及北非、中东及以色列地区的政府单位、国防、医疗及科技公司。
除了F5 BIG-IP上的CVE-2020-5902外,Kitten另外还开采其他网络产品的程序代码执行或资料外泄露洞,包括Pulse VPN的CVE-2019-11510、Fortinet FortiOS的CVE-2018-13379 (system file download in)、Palo Alto Networks VPN的CVE-2019-1579、Citrix Application Delivery Controller (ADC)和网关产品的CVE-2019-19781。