CISA ou CyberSecurity and Infrastructure Security Agency a publié un rapport confirmant l’activation de l’exploitation de la vulnérabilité non autorisée RCE CVE-2020-5902 affectant les dispositifs F5 Big-IP ADC. L’Agence de sécurité basée aux États-Unis a également fourni des mesures d’atténuation et de détection supplémentaires pour aider les utilisateurs à savoir si leurs systèmes ont été compromis et à récupérer les appareils F5 exploités.
L’agence déclare: « CISA a observé des scans et des reconnaissances, ainsi que des compromis confirmés, quelques jours après la publication du correctif de F5 pour cette vulnérabilité. Dès le 6 juillet 2020, CISA a constaté une vaste activité d’analyse pour détecter la présence de cette vulnérabilité. dans tous les ministères et organismes fédéraux – cette activité est en cours depuis la publication de cette alerte. «
Au cours de l’enquête, l’Agence a pu voir confirmer des attaques réussies contre deux cibles.
CISA a travaillé avec plusieurs entités dans plusieurs secteurs pour enquêter sur les compromis potentiels liés à cette vulnérabilité. CISA a confirmé deux compromis et continue d’enquêter.
Plus tôt ce mois-ci, F5 Networks a publié les mises à jour de sécurité pour la vulnérabilité critique 10/10 CVSSv3 CVE-2020-5902 sur les périphériques ADC BIG-IP. À la même date, les utilisateurs ont été invités à patcher leurs appareils par les entreprises Fortune 500, les gouvernements et les banques. Par la suite, après deux jours, les chercheurs ont partagé sur les exploits PoC CVE-2020-5902. Avec cela, les mesures d’atténuation initiales n’étaient pas complètement efficaces et les utilisateurs ont été invités à installer une version corrigée du logiciel pour résoudre complètement la vulnérabilité.
Mesures de détection et de récupération
L’agence recommande à toutes les organisations d’utiliser l’outil de détection IoC CVE-2020-5902 de F5 comme indication du compromis et leur suggère de passer par la liste d’actions suivante qui recherchent les signes d’exploitation:
- Mettre en quarantaine les systèmes potentiellement affectés
- Collectez et examinez les artefacts tels que les processus en cours d’exécution, les authentifications inhabituelles et les réseaux récents
- Déployer une signature Snort basée sur CISA pour détecter les activités malveillantes
En cas de preuve d’exploitation de la CVE-2020-5902, les organisations sont invitées à réagir aux mesures de valorisation de leurs systèmes par:
- Réimagerie des systèmes compromis
- Provisioning de nouveaux identifiants de compte
- Limitation complète de l’accès à l’interface de gestion
- Mise en œuvre de la segmentation du réseau
L’agence déclare: « CISA s’attend à voir des attaques continues exploitant des appareils F5 BIG-IP non corrigés et exhorte vivement les utilisateurs et les administrateurs à mettre à niveau leur logiciel vers les versions fixes. CISA conseille également aux administrateurs de déployer la signature incluse dans cette alerte pour les aider à déterminer si leurs systèmes ont été compromis. «