Vulnerabilidades CVE-2020-5903 no BIG-IP da F5 Permitem Comprometimento Total do Sistema

Na semana passada, a F5 Networks, um dos maiores fornecedores mundiais de produtos de entrega de aplicações em rede, lançou um aviso de segurança para alertar seus clientes sobre uma vulnerabilidade perigosa que os cibercriminosos poderiam começar a explorar no futuro próximo, se já não estiverem explorando de forma ativa. 

A falha de segurança foi descoberta em dispositivos de rede multiuso (BIP-IP) que podem funcionar como balanceadores de carga, middleware SSL, sistemas de modelagem de tráfego web, gateways de acesso, limitadores de taxa ou firewalls. Esses dispositivos são frequentemente usados por organizações governamentais, Telecoms, ISPs, centros de dados de computação em nuvem, entre outros. Quase todas as empresas mencionadas na lista Fortune 50 usam dispositivos BIG-IP em suas redes.

A CVE-2020-5902 é uma vulnerabilidade de execução remota de código na interface de gerenciamento do BIG-IP – TMUI, também conhecida como a utilidade de Configuração. Essa falha de segurança pode ser explorada pela internet por adversários não autenticados para obter acesso ao componente TMUI. A exploração bem-sucedida da CVE-2020-5902 permite que os atacantes executem comandos arbitrários do sistema, criem ou excluam arquivos, desabilitem serviços e/ou executem código Java arbitrário. Essa vulnerabilidade permite que adversários obtenham controle total sobre o dispositivo BIG-IP atacado.

Em relação à RCE CVE-2020-5903 relatada na sexta-feira, levando em consideração o nível de ameaça dessa vulnerabilidade e atrasos no processo de atualização específicos em ambientes de produção empresarial, alocamos os recursos da nossa equipe de desenvolvimento de conteúdo TDM para o final de semana.

Estamos felizes em relatar que a regra Sigma foi desenvolvida para a detecção dessa ameaça. A regra está disponível na plataforma TDM aqui: 

https://tdm.socprime.com/tdm/info/a3bYpIF6od6C

Regras de detecção foram desenvolvidas dentro de 4 dias da divulgação da vulnerabilidade:  

https://twitter.com/cyb3rops/status/1279743433423364096

https://support.f5.com/csp/article/K43638305

A regra tem traduções para as seguintes plataformas:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio 

EDR: Carbon Black, Elastic Endpoint

NTA: Corelight

MITRE ATT&CK:

Táticas: Acesso Inicial

Técnicas: Exploração de Aplicação Voltada para o Público (T1190)

Dependências: para detectar tentativas de exploração externa são necessários logs internos do httpd do dispositivo F5, para detectar tentativas de exploração interna a regra está usando logs de proxy.

Atualmente, já existem vários PoCs para CVE-2020-5903 (1, 2, 3, 4), portanto, é vital que você instale a atualização necessária o mais rápido possível e use as regras de detecção para garantir que a rede da sua organização esteja segura.

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa de Recompensas por Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.