Misure di rilevamento e recupero per difetto F5 BIG-IP RCE

La CISA o la CyberSecurity and Infrastructure Security Agency ha pubblicato un rapporto che conferma lo sfruttamento attivo della vulnerabilità non autorizzata RCE CVE-2020-5902 che colpisce i dispositivi ADC Big-IP F5. La Security Agency con sede negli Stati Uniti ha fornito ulteriori misure di mitigazione e rilevamento per aiutare gli utenti a scoprire se i loro sistemi sono stati compromessi e ripristinare i dispositivi F5 sfruttati.

L’agenzia afferma che “CISA ha osservato scansione e ricognizione, nonché compromessi confermati, entro pochi giorni dal rilascio della patch di F5 per questa vulnerabilità. Già dal 6 luglio 2020, CISA ha visto un’ampia attività di scansione per la presenza di questa vulnerabilità tra dipartimenti e agenzie federali: questa attività si sta svolgendo al momento della pubblicazione di questo avviso. “

Durante le indagini, l’Agenzia è stata in grado di vedere confermati attacchi riusciti contro due obiettivi.

CISA ha lavorato con diverse entità in più settori per studiare potenziali compromessi relativi a questa vulnerabilità. La CISA ha confermato due compromessi e continua a indagare.

All’inizio di questo mese, F5 Networks ha rilasciato gli aggiornamenti di sicurezza per la vulnerabilità critica CVSSv3 10/10 CVE-2020-5902 sui dispositivi ADC BIG-IP. Nella stessa data, gli utenti sono stati invitati a patchare i loro dispositivi da aziende, governi e banche di Fortune 500. Successivamente dopo due giorni, i ricercatori hanno condiviso gli exploit CVE-2020-5902 PoC. Con ciò, le mitigazioni iniziali non erano completamente efficaci e agli utenti è stato consigliato di installare la versione del software con patch per affrontare completamente la vulnerabilità.

Misure di rilevamento e recupero

 L’agenzia raccomanda a tutte le organizzazioni di utilizzare lo strumento di rilevamento IoC CVE-2020-5902 di F5 come indicazione del compromesso e suggerisce loro di passare attraverso il seguente elenco di azioni che cercano i segni di sfruttamento:

  • Mettere in quarantena i sistemi potenzialmente interessati
  • Raccogliere e rivedere i manufatti come processi in esecuzione, autenticazioni insolite e reti recenti
  • Distribuire una firma Snort basata su CISA per rilevare attività dannose

In caso di prove dello sfruttamento di CVE-2020-5902, le organizzazioni sono invitate a reagire alle misure di ripristino dei propri sistemi attraverso:

  • Reimaging dei sistemi compromessi
  • Provisioning di nuove credenziali dell’account
  • Limitare completamente l’accesso all’interfaccia di gestione
  • Implementazione della segmentazione della rete

L’agenzia afferma che “CISA prevede di assistere a continui attacchi che sfruttano dispositivi BIG-IP F5 senza patch e sollecita fortemente utenti e amministratori a aggiornare il loro software alle versioni fisse. CISA consiglia inoltre agli amministratori di distribuire la firma inclusa in questo avviso per aiutarli a determinare se i loro sistemi sono stati compromessi “.