Erkennungs- und Wiederherstellungsmaßnahmen für F5 BIG-IP RCE-Fehler

CISA oder CyberSecurity and Infrastructure Security Agency haben einen Bericht veröffentlicht, in dem die aktivierte Ausnutzung der nicht autorisierten RCE CVE-2020-5902-Sicherheitsanfälligkeit für F5 Big-IP-ADC-Geräte bestätigt wird. Die in den USA ansässige Sicherheitsbehörde hat zusätzliche Maßnahmen zur Schadensbegrenzung und -erkennung bereitgestellt, um Benutzern zu helfen, herauszufinden, ob ihre Systeme kompromittiert wurden, und die ausgenutzten F5-Geräte wiederherzustellen.

Die Agentur sagt: „CISA hat innerhalb weniger Tage nach der Patch-Veröffentlichung von F5 für diese Sicherheitsanfälligkeit das Scannen und Aufklären sowie bestätigte Kompromisse beobachtet. Bereits am 6. Juli 2020 hat CISA umfassende Scan-Aktivitäten für das Vorhandensein dieser Sicherheitsanfälligkeit durchgeführt über Bundesabteilungen und -behörden hinweg – diese Aktivität findet derzeit zum Zeitpunkt der Veröffentlichung dieser Warnung statt. „

Während der Untersuchung konnte die Agentur erfolgreiche Angriffe auf zwei Ziele bestätigen.

CISA hat mit mehreren Unternehmen in mehreren Sektoren zusammengearbeitet, um mögliche Kompromisse im Zusammenhang mit dieser Sicherheitsanfälligkeit zu untersuchen. CISA hat zwei Kompromisse bestätigt und untersucht diese weiterhin.

Anfang dieses Monats veröffentlichte F5 Networks die Sicherheitsupdates für die kritische Sicherheitsanfälligkeit CVE-2020-5902 mit 10/10 CVSSv3 auf BIG-IP ADC-Geräten. Am selben Tag wurden die Benutzer von Fortune 500-Unternehmen, Regierungen und Banken aufgefordert, ihre Geräte zu patchen. Anschließend teilten die Forscher nach zwei Tagen die PoC-Exploits CVE-2020-5902 mit. Damit waren die anfänglichen Abhilfemaßnahmen nicht vollständig wirksam, und den Benutzern wurde empfohlen, eine gepatchte Version der Software zu installieren, um die Sicherheitsanfälligkeit vollständig zu beheben.

Erkennungs- und Wiederherstellungsmaßnahmen

 Die Agentur empfiehlt allen Organisationen, das IoC-Erkennungstool CVE-2020-5902 von F5 als Hinweis auf den Kompromiss zu verwenden, und schlägt ihnen vor, die folgende Aktionsliste zu durchsuchen, um nach Ausbeutungszeichen zu suchen:

  • Quarantäne der potenziell betroffenen Systeme
  • Sammeln und überprüfen Sie die Artefakte wie laufende Prozesse, ungewöhnliche Authentifizierungen und aktuelle Netzwerke
  • Stellen Sie eine CISA-basierte Snort-Signatur bereit, um böswillige Aktivitäten zu erkennen

Im Falle von Hinweisen auf die Nutzung von CVE-2020-5902 werden die Organisationen aufgefordert, auf die Wiederherstellungsmaßnahmen für ihre Systeme zu reagieren, indem sie:

  • Neuabbildung der gefährdeten Systeme
  • Bereitstellung neuer Kontoanmeldeinformationen
  • Beschränken des Zugriffs auf die Verwaltungsschnittstelle in vollem Umfang
  • Implementieren der Netzwerksegmentierung

Die Agentur sagt: „CISA erwartet anhaltende Angriffe auf nicht gepatchte F5-BIG-IP-Geräte und fordert Benutzer und Administratoren nachdrücklich auf, ihre Software auf die festen Versionen zu aktualisieren. CISA empfiehlt Administratoren außerdem, die in dieser Warnung enthaltene Signatur bereitzustellen, um festzustellen, ob Ihre Systeme wurden kompromittiert. „