Medidas de detección y recuperación para la falla F5 BIG-IP RCE

CISA o la Agencia de Seguridad de Ciberseguridad e Infraestructura publicaron un informe que confirma la explotación activa de la vulnerabilidad no autorizada RCE CVE-2020-5902 que afecta a los dispositivos F5 Big-IP ADC. La Agencia de Seguridad con sede en los EE. UU. Proporcionó medidas de mitigación y detección adicionales para ayudar a los usuarios a descubrir si sus sistemas se han visto comprometidos y recuperar los dispositivos F5 explotados.

La agencia dice: «CISA ha observado escaneo y reconocimiento, así como compromisos confirmados, a los pocos días del lanzamiento del parche de F5 para esta vulnerabilidad. Desde el 6 de julio de 2020, CISA ha visto una amplia actividad de escaneo por la presencia de esta vulnerabilidad en todos los departamentos y agencias federales: esta actividad se produce actualmente a partir de la publicación de esta Alerta «.

Durante la investigación, la Agencia pudo ver los ataques exitosos contra dos objetivos.

CISA ha estado trabajando con varias entidades en múltiples sectores para investigar posibles compromisos relacionados con esta vulnerabilidad. CISA ha confirmado dos compromisos y continúa investigando.

A principios de este mes, F5 Networks lanzó las actualizaciones de seguridad para la vulnerabilidad crítica CVE-2020-5902 de 10/10 CVSSv3 en dispositivos BIG-IP ADC. En la misma fecha, las empresas, gobiernos y bancos instaron a los usuarios a parchear sus dispositivos. Posteriormente, después de dos días, los investigadores compartieron acerca de los exploits PoC CVE-2020-5902. Con eso, las mitigaciones iniciales no fueron completamente efectivas y se aconsejó a los usuarios que instalaran una versión parcheada del software para abordar completamente la vulnerabilidad.

Medidas de detección y recuperación

 La agencia recomienda que todas las organizaciones utilicen la herramienta de detección de IoC CVE-2020-5902 de F5 como una indicación del compromiso y sugiere que revisen la siguiente lista de acciones que buscan signos de explotación:

  • Poner en cuarentena los sistemas potencialmente afectados
  • Recopile y revise los artefactos, como procesos en ejecución, autenticaciones inusuales y redes recientes.
  • Implemente una firma Snort basada en CISA para detectar actividad maliciosa

En caso de evidencia de explotación de CVE-2020-5902, se insta a las organizaciones a reaccionar ante las medidas de recuperación de sus sistemas a través de:

  • Reimaginando los sistemas comprometidos
  • Aprovisionamiento de nuevas credenciales de cuenta
  • Limitar el acceso a la interfaz de administración en toda su extensión.
  • Implementación de segmentación de red.

La agencia dice: «CISA espera ver ataques continuos que exploten dispositivos F5 BIG-IP sin parches e insta a los usuarios y administradores a actualizar su software a las versiones fijas. CISA también aconseja que los administradores implementen la firma incluida en esta Alerta para ayudarlos a determinar si sus sistemas han sido comprometidos «.