Le vulnerabilità CVE-2020-5903 in F5 BIG-IP consentono il compromesso completo del sistema

La settimana scorsa, F5 Networks, uno dei più grandi fornitori mondiali di prodotti per il delivery networking delle applicazioni, ha rilasciato un avviso di sicurezza per avvertire i propri clienti di una pericolosa vulnerabilità che i criminali informatici potrebbero iniziare a sfruttare nel prossimo futuro se non fosse già sfruttata allo stato attuale. 

Il difetto di sicurezza è stato scoperto nei dispositivi di rete multiuso (BIG-IP) che possono funzionare come bilanciatori di carico, middleware SSL, sistemi di modellamento del traffico web, gateway di accesso, limitatori di velocità o firewall. Questi dispositivi sono spesso utilizzati da organizzazioni governative, Telecomunicazioni, ISP, data center di cloud computing e altro. Quasi tutte le aziende menzionate nell’elenco Fortune 50 utilizzano dispositivi BIG-IP nelle loro reti.

CVE-2020-5902 è una vulnerabilità di esecuzione remota di codice nell’interfaccia di gestione di BIG-IP – TMUI, anche conosciuta come l’utilità di configurazione. Questo difetto di sicurezza può essere sfruttato su Internet da avversari non autenticati per ottenere l’accesso al componente TMUI. Lo sfruttamento di successo di CVE-2020-5902 consente agli aggressori di eseguire comandi di sistema arbitrari, creare o eliminare file, disabilitare servizi e/o eseguire codice Java arbitrario. Questa vulnerabilità consente agli avversari di ottenere il pieno controllo sul dispositivo BIG-IP attaccato.

Per quanto riguarda RCE CVE-2020-5903 segnalato venerdì, prendendo in considerazione il livello di minaccia di questa vulnerabilità e i ritardi nel processo di aggiornamento specifici degli ambienti di produzione Enterprise, abbiamo allocato le risorse del nostro team di sviluppo contenuti TDM per il fine settimana.

Siamo lieti di segnalare che la regola Sigma è stata sviluppata per il rilevamento di questa minaccia. La regola è disponibile sulla piattaforma TDM qui: 

https://tdm.socprime.com/tdm/info/a3bYpIF6od6C

Le regole di rilevamento sono state sviluppate entro 4 giorni dalla divulgazione della vulnerabilità:  

https://twitter.com/cyb3rops/status/1279743433423364096

https://support.f5.com/csp/article/K43638305

La regola ha traduzioni per le seguenti piattaforme:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio 

EDR: Carbon Black, Elastic Endpoint

NTA: Corelight

MITRE ATT&CK:

Tattiche: Accesso Iniziale

Tecniche: Sfruttamento di Applicazioni Pubbliche (T1190)

Dipendenze: per rilevare tentativi di sfruttamento esterno sono richiesti i log di httpd interni del dispositivo F5, per rilevare tentativi di sfruttamento interno la regola utilizza i log proxy.

Attualmente, ci sono già diversi PoC per CVE-2020-5903 (1, 2, 3, 4), quindi è fondamentale che installiate l’aggiornamento necessario il prima possibile e utilizziate le regole di rilevamento per assicurarvi che la rete della vostra organizzazione sia sicura.

Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM.