Vulnérabilités CVE-2020-5903 dans BIG-IP de F5 permettent un compromis total du système

La semaine dernière, F5 Networks, l’un des plus grands fournisseurs mondiaux de produits de mise en réseau de la livraison d’applications, a publié un avis de sécurité pour avertir ses clients d’une vulnérabilité dangereuse que les cybercriminels pourraient commencer à exploiter dans un proche avenir si elle n’était pas déjà exploitée dans la nature. 

La faille de sécurité a été découverte dans des appareils de mise en réseau polyvalents (BIP-IP) qui peuvent fonctionner comme équilibreurs de charge, middleware SSL, systèmes de gestion du trafic Web, passerelles d’accès, limiteurs de débit ou pare-feu. Ces appareils sont souvent utilisés par les organisations gouvernementales, les télécommunications, les fournisseurs d’accès Internet, les centres de données de cloud computing, et plus encore. Presque toutes les entreprises mentionnées dans la liste Fortune 50 utilisent des appareils BIG-IP sur leurs réseaux.

CVE-2020-5902 est une vulnérabilité d’exécution de code à distance dans l’interface de gestion de BIG-IP – TMUI, également appelée l’utilitaire de configuration. Cette faille de sécurité peut être exploitée sur Internet par des adversaires non authentifiés pour accéder au composant TMUI. Une exploitation réussie de CVE-2020-5902 permet aux attaquants d’exécuter des commandes système arbitraires, de créer ou de supprimer des fichiers, de désactiver des services et/ou d’exécuter du code Java arbitraire. Cette vulnérabilité permet aux adversaires de prendre le contrôle total de l’appareil BIG-IP attaqué.

En ce qui concerne le RCE CVE-2020-5903 rapporté vendredi, compte tenu du niveau de menace de cette vulnérabilité et des retards dans le processus de mise à niveau spécifique aux environnements de production d’entreprise, nous avons alloué les ressources de notre équipe de développement de contenu TDM pour le week-end.

Nous sommes heureux de signaler qu’une règle Sigma a été développée pour la détection de cette menace. La règle est disponible sur la plateforme TDM ici : 

https://tdm.socprime.com/tdm/info/a3bYpIF6od6C

Des règles de détection ont été développées dans les 4 jours suivant la divulgation de la vulnérabilité :  

https://twitter.com/cyb3rops/status/1279743433423364096

https://support.f5.com/csp/article/K43638305

La règle a des traductions pour les plateformes suivantes :

SIEM : ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio 

EDR : Carbon Black, Elastic Endpoint

NTA : Corelight

MITRE ATT&CK :

Tactiques : Accès Initial

Techniques : Exploitation d’application accessible au public (T1190)

Dépendances : pour détecter les tentatives d’exploitation externe, les journaux httpd internes de l’appareil F5 sont requis, pour détecter les tentatives d’exploitation internes, la règle utilise les journaux de proxy.

Actuellement, il existe déjà plusieurs PoC pour CVE-2020-5903 (1, 2, 3, 4), il est donc vital que vous installiez la mise à jour nécessaire dès que possible et utilisiez les règles de détection pour vous assurer que le réseau de votre organisation est sécurisé.

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.