CVE-2020-5903-Schwachstellen in F5s BIG-IP ermöglichen vollständige Systemkompromittierung

Letzte Woche veröffentlichte F5 Networks, einer der weltweit größten Anbieter von Netzwerklösungen für die Anwendungsbereitstellung, eine Sicherheitswarnung, um ihre Kunden vor einer gefährlichen Schwachstelle zu warnen, die Cyberkriminelle in naher Zukunft ausnutzen könnten, falls sie nicht bereits aktiv im Umlauf ausgenutzt wird. 

Die Sicherheitslücke wurde in multifunktionalen Netzwerkgeräten (BIG-IP) entdeckt, die als Load Balancer, SSL-Middleware, Web-Traffic-Shaping-Systeme, Zugangsgateways, Ratenbegrenzer oder Firewalls fungieren können. Diese Geräte werden häufig von Regierungsorganisationen, Telekommunikationsunternehmen, Internetdienstanbietern, Cloud-Computing-Rechenzentren und mehr verwendet. Fast alle im Fortune-50-Index gelisteten Unternehmen verwenden BIG-IP-Geräte in ihren Netzwerken.

CVE-2020-5902 ist eine Schwachstelle zur Remote-Code-Ausführung in der Verwaltungsoberfläche von BIG-IP – TMUI, auch als Konfigurationsdienstprogramm bezeichnet. Diese Sicherheitslücke kann über das Internet von nicht authentifizierten Angreifern ausgenutzt werden, um Zugriff auf die TMUI-Komponente zu erhalten. Eine erfolgreiche Ausnutzung von CVE-2020-5902 ermöglicht es Angreifern, beliebige Systembefehle auszuführen, Dateien zu erstellen oder zu löschen, Dienste zu deaktivieren und/oder beliebigen Java-Code auszuführen. Diese Schwachstelle erlaubt es Angreifern, die vollständige Kontrolle über das angegriffene BIG-IP-Gerät zu erlangen.

In Bezug auf RCE CVE-2020-5903, das am Freitag gemeldet wurde, haben wir in Anbetracht des Bedrohungsniveaus dieser Schwachstelle und der Verzögerungen im Upgrade-Prozess, die speziell für Produktionsumgebungen im Unternehmensbereich auftreten, unsere Ressourcen des TDM-Inhaltentwicklungsteams für das Wochenende bereitgestellt.

Wir freuen uns, berichten zu können, dass eine Sigma-Regel zur Erkennung dieser Bedrohung entwickelt wurde. Die Regel ist auf der TDM-Plattform hier verfügbar: 

https://tdm.socprime.com/tdm/info/a3bYpIF6od6C

Erkennungsregeln wurden innerhalb von 4 Tagen nach Offenlegung der Schwachstelle entwickelt:  

https://twitter.com/cyb3rops/status/1279743433423364096

https://support.f5.com/csp/article/K43638305

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio 

EDR: Carbon Black, Elastic Endpoint

NTA: Corelight

MITRE ATT&CK:

Taktiken: Initialer Zugriff

Techniken: Öffentliche Anwendung ausnutzen (T1190)

Abhängigkeiten: Zur Erkennung externer Ausnutzungsversuche sind interne httpd-Protokolle des F5-Geräts erforderlich, zur Erkennung interner Ausnutzungsversuche werden Proxy-Protokolle verwendet.

Derzeit existieren bereits mehrere PoCs für CVE-2020-5903 (1, 2, 3, 4), daher ist es entscheidend, dass Sie das erforderliche Update so schnell wie möglich installieren und die Erkennungsregeln verwenden, um sicherzustellen, dass das Netzwerk Ihrer Organisation geschützt ist.

Bereit, SOC Prime TDM auszuprobieren? Kostenlos anmelden. Oder dem Threat Bounty Programm beitreten um eigene Inhalte zu erstellen und mit der TDM-Community zu teilen.