[EX006] How to exploit CVE-2021-22986 in F5 BIG-IP devices

 

Overview

F5 has just announced some critical vulnerabilities in the web application of Big IP, notably CVE-2021-22986. This vulnerability is in the iControl REST API management interface, which can allow unauthenticated attackers to remote code execution (RCE) with a CVSS score of 9.8.

In this article, we will perform a detailed analysis and how to exploit the vulnerability.

iControl REST interface

Firstly, we identify the handlers of these APIs. The information on the F5’s website shows that these endpoints are prefixed with /mgmt/. The httpd configuration shows that these requests are forwarded to a listening service on localhost at port 8100:

[EX006] Hành trình khai thác lỗ hổng CVE-2021-22986

 

Tổng quan

Hãng F5 vừa công bố một số lỗ hổng nghiêm trọng trong ứng dụng web của sản phẩm Big IP, trong đó đáng chú ý phải kể đến CVE-2021-22986. Lỗ hổng này nằm trong giao diện quản lý iControl REST API, có thể cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực với điểm số CVSS lên đến 9.8.

Trong bài viết này chúng tôi sẽ đi vào phân tích chi tiết và cách khai thác lỗ hổng.

Giao diện iControl REST

Trước hết chúng tôi xác định handler của các API này. Thông tin trên trang web của F5 cho thấy các endpoint này đều có tiền tố là /mgmt/. Cấu hình httpd cho thấy các request này được chuyển tiếp tới một dịch vụ  lắng nghe trên localhost tại cổng 8100:

[RE021] Qakbot analysis – Dangerous malware has been around for more than a decade

 

1. Overview

QakBot (also known as QBot, QuakBot, Pinkslipbot) is one of the famous Banking Trojan with the main task to steal banking credentials, online banking session information, or any other banking data. Although detected by anti-virus software vendors since 2008, but util now it’s still operating and keep continuously maintained by the gangs behind it. Qakbot continuously evolves by applying advance or new techniques to evade detection and avoid reverse analysis, making analysis more difficult. In recent reports, it could be used to drop other malware such as ProLock, Egregor ransomware.

Source: CrowdStrike 2021 Global Threat Report

Qakbot can be distributed via Emotet, however Emotet has been taken down recently, currently this malware uses email spam and phishing campaigns as main method. Unlike Emotet that uses MS-Word in conjunction with VBA to download malicious payload, Qakbot uses MS-Excel with the support of Excel 4.0 Macro (XLM macro) to download and execute malicious payload on the victim's computer.

In this article, we will analyze how QakBot infects after launched by malicious Excel document, the techniques used to make the analysis difficult, and how to extract the C2 list. QakBot’s persistence can not be detected at runtime, the run key only created before system shutdown or enter suspended state, and deleted immediately after QakBot is executed again. Qakbot also applied encryption techniques to conceal information, as well as encrypt the payload on memory.

[RE021] Phân tích Qakbot – Mã độc nguy hiểm đã tồn tại hơn một thập kỉ

 

1. Tổng quan

Qakbot (còn được biết đến với các tên khác như Qbot, QuakBot, Pinkslipbot) là một trong những Banking Trojan nổi tiếng với nhiệm vụ chính là đánh cắp thông tin tài khoản ngân hàng, các phiên giao dịch trực tuyến hoặc các thông tin tài chính khác. Mặc dù bị các hãng cung cấp phần mềm diệt virus phát hiện từ năm 2008, nhưng cho tới nay Trojan này vẫn tiếp tục hoạt động và được duy trì liên tục bởi những kẻ đứng đằng sau nó. Qakbot liên tục được cải tiến bằng cách áp dụng các kĩ thuật tiên tiến hoặc mới để tránh bị phát hiện, khiến cho việc phân tích trở nên khó khăn hơn. Trong những báo cáo mới đây, Qakbot còn được sử dụng để tải về các mã độc tống tiền khác như ProLock, Egregor.

Nguồn: CrowdStrike 2021 Global Threat Report

Qakbot có thể được phân phối thông qua Emotet, tuy nhiên với việc Emotet đã bị hạ gục mới đây thì hiện tại con đường chính của mã độc này là thông qua các chiến dịch email spam và phishing. Khác với Emotet sử dụng MS-Word kết hợp với VBA để tải về mã độc, Qakbot lại sử dụng MS-Excel với sự hỗ trợ của Excel 4.0 Macro (XLM macro) để tải và thực thi mã độc trên máy nạn nhân. Trong tương lai gần, các nhóm tin tặc và tội phạm mạng có khả năng sẽ chuyển qua sử dụng mã độc này để tấn công vào các tổ chức hoặc cá nhân ở Việt Nam.

Trong bài viết này, chúng tôi phân tích cách thức lây nhiễm của QakBot sau khi khởi chạy bởi tài liệu Excel độc hại, các kĩ thuật mã độc sử dụng để gây khó khăn cho việc phân tích cũng như cách để trích xuất danh sách C2. Kĩ thuật persistence mà Qakbot sử dụng khá hay, run key chỉ được tạo trước khi máy tắt hoặc chuyển trạng thái suspended và bị xóa ngay lập tức khi Qakbot thực thi lại. Qakbot tận dụng triệt để kĩ thuật mã hóa để che giấu thông tin, cũng như mã hóa payload trên memory.

[RE020] ElephantRAT (Kunming version): our latest discovered RAT of Panda and the similarities with recently Smanager RAT

 

Recently, ESET published a report on a supply chain attack targeting software company BigNox, taking advantage of the update mechanism of the NoxPlayer software - an Android emulator on PC and Mac. This software is used by many gamers in Vietnam as well as in all over the world. ESET has named this campaign Operation NightScout. With the assessment that Vietnam can also have many people infected due to a large number of users, we have begun to investigate and analyze further.

Based on the hashes of the samples provided by ESET, we have not only re-analyzed them, but also digged deeper. We found many points that the ESET did not mention in their report. At the same time, we have found a number of similarities and relationships between these samples and those used in the last campaign against the Vietnam Government CertificationAuthority as well as a large Vietnamese corporation that we already mentioned. Not only that, we have discovered a new RAT, which is named ElephantRat.

“昆明版本” means “Kunming version”