Vulnerabilidades CVE-2020-5903 en F5’s BIG-IP Permiten el Compromiso Completo del Sistema

La semana pasada, F5 Networks, uno de los mayores proveedores mundiales de productos de red para la entrega de aplicaciones, emitió un aviso de seguridad para advertir a sus clientes sobre una vulnerabilidad peligrosa que los cibercriminales podrían comenzar a explotar en el futuro cercano si no estaba ya siendo explotada en el entorno. 

La falla de seguridad fue descubierta en dispositivos de red de uso múltiple (BIG-IP) que pueden funcionar como equilibradores de carga, middleware SSL, sistemas de modelado de tráfico web, puertas de acceso, limitadores de tasa o cortafuegos. Estos dispositivos son a menudo utilizados por organizaciones gubernamentales, telecomunicaciones, ISP, centros de datos de computación en la nube y más. Casi todas las empresas mencionadas en la lista Fortune 50 utilizan dispositivos BIG-IP en sus redes.

CVE-2020-5902 es una vulnerabilidad de ejecución remota de código en la interfaz de gestión de BIG-IP – TMUI, también conocida como la utilidad de configuración. Esta falla de seguridad puede ser explotada a través de internet por adversarios no autenticados para acceder al componente TMUI. La explotación exitosa de CVE-2020-5902 permite a los atacantes ejecutar comandos arbitrarios del sistema, crear o eliminar archivos, deshabilitar servicios y/o ejecutar código Java arbitrario. Esta vulnerabilidad permite a los adversarios obtener control total sobre el dispositivo BIG-IP atacado.

Con respecto a RCE CVE-2020-5903 reportado el viernes, teniendo en cuenta el nivel de amenaza de esta vulnerabilidad y las demoras en el proceso de actualización específicas de entornos de producción empresarial, hemos asignado los recursos de nuestro equipo de desarrollo de contenido TDM para el fin de semana.

Nos complace informar que se ha desarrollado una regla Sigma para la detección de esta amenaza. La regla está disponible en la plataforma TDM aquí: 

https://tdm.socprime.com/tdm/info/a3bYpIF6od6C

Las reglas de detección se desarrollaron dentro de los 4 días posteriores a la divulgación de la vulnerabilidad:  

https://twitter.com/cyb3rops/status/1279743433423364096

https://support.f5.com/csp/article/K43638305

La regla tiene traducciones para las siguientes plataformas:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio 

EDR: Carbon Black, Elastic Endpoint

NTA: Corelight

MITRE ATT&CK:

Tácticas: Acceso Inicial

Técnicas: Explotación de Aplicación Expuesta (T1190)

Dependencias: para detectar intentos de explotación externa se requieren logs internos httpd del dispositivo F5, para detectar intentos de explotación interna la regla utiliza logs de proxy.

Actualmente, ya existen varios PoCs para CVE-2020-5903 (1, 2, 3, 4), por lo que es vital que instale la actualización necesaria lo antes posible y utilice las reglas de detección para asegurarse de que la red de su organización esté segura.

¿Listo para probar SOC Prime TDM? Regístrese gratis. O únete al Programa de Recompensas de Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.