CVE-2020-5903：F5のBIG-IPにおける脆弱性がシステム全体の危殆化を許す

先週、F5 Networksは、世界最大のアプリケーションデリバリーネットワーク製品の提供者の一つとして、サイバー犯罪者が近いうちに（すでに野生で利用可能でなければ）悪用を開始する可能性のある危険な脆弱性について警告するセキュリティ勧告を発表しました。 

このセキュリティフロウは、ロードバランサー、SSLミドルウェア、ウェブトラフィックシェーピングシステム、アクセスゲートウェイ、レートリミッター、ファイアウォールとして機能できる多目的ネットワークデバイス（BIP-IP）で発見されました。これらのデバイスは、政府機関、通信事業者、ISP、クラウドコンピューティングデータセンターなどによって頻繁に使用されます。フォーチュン50リストに記載されているほぼすべての企業が、ネットワークにBIG-IPデバイスを使用しています。

CVE-2020-5902は、BIG-IPの管理インターフェースであるTMUI、別名Configurationユーティリティにおけるリモートコード実行の脆弱性です。このセキュリティフロウは、未認証の攻撃者がインターネットを介してTMUIコンポーネントにアクセスするために悪用可能です。CVE-2020-5902を成功裏に悪用すると、攻撃者は任意のシステムコマンドの実行、ファイルの作成または削除、サービスの無効化、および/または任意のJavaコードの実行が可能になります。この脆弱性により、攻撃者は攻撃されたBIG-IPデバイスを完全に制御できます。

金曜日に報告されたRCE CVE-2020-5903に関して、この脆弱性の脅威レベルとエンタープライズプロダクション環境特有のアップグレードプロセスの遅延を考慮し、週末にTDMコンテンツ開発チームのリソースを割り当てました。

この脅威の検出のためのSigmaルールが開発されたことを報告できてうれしいです。ルールはTDMプラットフォームでこちらから入手可能です: 

https://tdm.socprime.com/tdm/info/a3bYpIF6od6C

脆弱性公開から4日以内に検出ルールが開発されました:  

https://twitter.com/cyb3rops/status/1279743433423364096

https://support.f5.com/csp/article/K43638305

このルールには次のプラットフォームの翻訳があります：

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio 

EDR: Carbon Black, Elastic Endpoint

NTA: Corelight

MITRE ATT&CK:

戦術: 初期アクセス

技術: パブリック・フェイシング・アプリケーションの悪用 (T1190)

依存関係: 外部悪用試行を検出するにはF5デバイスの内部httpdログが必要であり、内部悪用試行を検出するにはルールがプロキシログを使用します。

現在、CVE-2020-5903のPoCがすでにいくつか存在するので（1, 2, 3, 4）、必要なアップデートをできるだけ早くインストールし、検出ルールを使用して組織のネットワークが安全であることを確認することが重要です。

SOC Prime TDMを試してみる準備はできていますか？ 無料でサインアップ。または Threat Bounty Programに参加して ご自身のコンテンツを作成し、TDMコミュニティと共有しましょう。