Mesures de détection et de récupération de la faille F5 BIG-IP RCE

CISA ou CyberSecurity and Infrastructure Security Agency a publié un rapport confirmant l’activation de l’exploitation de la vulnérabilité non autorisée RCE CVE-2020-5902 affectant les dispositifs F5 Big-IP ADC. L’Agence de sécurité basée aux États-Unis a également fourni des mesures d’atténuation et de détection supplémentaires pour aider les utilisateurs à savoir si leurs systèmes ont été compromis et à récupérer les appareils F5 exploités.

L’agence déclare: « CISA a observé des scans et des reconnaissances, ainsi que des compromis confirmés, quelques jours après la publication du correctif de F5 pour cette vulnérabilité. Dès le 6 juillet 2020, CISA a constaté une vaste activité d’analyse pour détecter la présence de cette vulnérabilité. dans tous les ministères et organismes fédéraux – cette activité est en cours depuis la publication de cette alerte. « 

Au cours de l’enquête, l’Agence a pu voir confirmer des attaques réussies contre deux cibles.

CISA a travaillé avec plusieurs entités dans plusieurs secteurs pour enquêter sur les compromis potentiels liés à cette vulnérabilité. CISA a confirmé deux compromis et continue d’enquêter.

Plus tôt ce mois-ci, F5 Networks a publié les mises à jour de sécurité pour la vulnérabilité critique 10/10 CVSSv3 CVE-2020-5902 sur les périphériques ADC BIG-IP. À la même date, les utilisateurs ont été invités à patcher leurs appareils par les entreprises Fortune 500, les gouvernements et les banques. Par la suite, après deux jours, les chercheurs ont partagé sur les exploits PoC CVE-2020-5902. Avec cela, les mesures d’atténuation initiales n’étaient pas complètement efficaces et les utilisateurs ont été invités à installer une version corrigée du logiciel pour résoudre complètement la vulnérabilité.

Mesures de détection et de récupération

 L’agence recommande à toutes les organisations d’utiliser l’outil de détection IoC CVE-2020-5902 de F5 comme indication du compromis et leur suggère de passer par la liste d’actions suivante qui recherchent les signes d’exploitation:

  • Mettre en quarantaine les systèmes potentiellement affectés
  • Collectez et examinez les artefacts tels que les processus en cours d’exécution, les authentifications inhabituelles et les réseaux récents
  • Déployer une signature Snort basée sur CISA pour détecter les activités malveillantes

En cas de preuve d’exploitation de la CVE-2020-5902, les organisations sont invitées à réagir aux mesures de valorisation de leurs systèmes par:

  • Réimagerie des systèmes compromis
  • Provisioning de nouveaux identifiants de compte
  • Limitation complète de l’accès à l’interface de gestion
  • Mise en œuvre de la segmentation du réseau

L’agence déclare: « CISA s’attend à voir des attaques continues exploitant des appareils F5 BIG-IP non corrigés et exhorte vivement les utilisateurs et les administrateurs à mettre à niveau leur logiciel vers les versions fixes. CISA conseille également aux administrateurs de déployer la signature incluse dans cette alerte pour les aider à déterminer si leurs systèmes ont été compromis. «