F5의 BIG-IP에서 발견된 CVE-2020-5903 취약점으로 인한 시스템 전체 손상 우려

지난주, 세계 최대의 애플리케이션 전송 네트워크 제품 제공업체 중 하나인 F5 Networks는 사이버 범죄자가 곧 악용할 수 있는 위험한 취약점에 대해 고객들을 경고하기 위해 보안 자문을 발표했습니다. 현재 빠르게 악용되지 않았다면, 곧 악용될 수 있습니다. 

이 보안 결함은 로드 밸런서, SSL 미들웨어, 웹 트래픽 조정 시스템, 액세스 게이트웨이, 속도 제한 장치 또는 방화벽으로 작동할 수 있는 다목적 네트워킹 장치(BIP-IP)에서 발견되었습니다. 이 장치는 종종 정부 기관, 통신사(ISP), 클라우드 컴퓨팅 데이터 센터 등에서 사용됩니다. Fortune 50 목록에 언급된 거의 모든 회사들이 네트워크에 BIG-IP 장치를 사용하고 있습니다.

CVE-2020-5902는 BIG-IP의 관리 인터페이스인 TMUI, 즉 구성 유틸리티에서 발생하는 원격 코드 실행 취약점입니다. 이 보안 결함은 인증되지 않은 상대방이 인터넷을 통해 TMUI 구성 요소에 접근할 수 있도록 악용할 수 있습니다. CVE-2020-5902의 성공적인 악용은 공격자가 임의의 시스템 명령을 실행하고, 파일을 생성하거나 삭제하며, 서비스를 비활성화하고/또는 임의의 Java 코드를 실행할 수 있게 합니다. 이 취약점은 공격자가 공격당한 BIG-IP 장치를 완전히 제어할 수 있도록 합니다.

금요일에 보고된 RCE CVE-2020-5903에 관해서는, 이 취약점의 위협 수준과 Enterprise 생산 환경에 특화된 업그레이드 프로세스 지연을 고려하여, 우리는 주말 동안 TDM 콘텐츠 개발 팀의 리소스를 할당했습니다.

이 위협을 감지하기 위한 Sigma 규칙이 개발되었음을 기쁘게 보고합니다. 규칙은 여기 TDM 플랫폼에서 사용할 수 있습니다. 

https://tdm.socprime.com/tdm/info/a3bYpIF6od6C

감지 규칙은 취약점 공개 4일 이내에 개발되었습니다:  

https://twitter.com/cyb3rops/status/1279743433423364096

https://support.f5.com/csp/article/K43638305

이 규칙에는 다음 플랫폼에 대한 번역이 포함되어 있습니다:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio 

EDR: Carbon Black, Elastic Endpoint

NTA: Corelight

MITRE ATT&CK:

전술: 초기 접근

기법: 공용 애플리케이션 공격 (T1190)

종속성: 외부 악용 시도를 감지하기 위해 F5 장치 내부 httpd 로그가 필요하며, 내부 악용 시도를 감지하기 위해서는 프록시 로그를 사용해야 합니다.

현재 CVE-2020-5903에 대한 여러 PoC가 이미 존재하므로 (1, 2, 3, 4), 가능한 빨리 필요한 업데이트를 설치하고 발견 규칙을 사용하여 조직 네트워크가 안전한지 확인하는 것이 중요합니다.

SOC Prime TDM을 사용해 볼 준비가 되셨습니까? 무료 가입. 또는 Threat Bounty 프로그램에 참여하여 자신의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.