La CISA o la CyberSecurity and Infrastructure Security Agency ha pubblicato un rapporto che conferma lo sfruttamento attivo della vulnerabilità non autorizzata RCE CVE-2020-5902 che colpisce i dispositivi ADC Big-IP F5. La Security Agency con sede negli Stati Uniti ha fornito ulteriori misure di mitigazione e rilevamento per aiutare gli utenti a scoprire se i loro sistemi sono stati compromessi e ripristinare i dispositivi F5 sfruttati.
L’agenzia afferma che “CISA ha osservato scansione e ricognizione, nonché compromessi confermati, entro pochi giorni dal rilascio della patch di F5 per questa vulnerabilità. Già dal 6 luglio 2020, CISA ha visto un’ampia attività di scansione per la presenza di questa vulnerabilità tra dipartimenti e agenzie federali: questa attività si sta svolgendo al momento della pubblicazione di questo avviso. “
Durante le indagini, l’Agenzia è stata in grado di vedere confermati attacchi riusciti contro due obiettivi.
CISA ha lavorato con diverse entità in più settori per studiare potenziali compromessi relativi a questa vulnerabilità. La CISA ha confermato due compromessi e continua a indagare.
All’inizio di questo mese, F5 Networks ha rilasciato gli aggiornamenti di sicurezza per la vulnerabilità critica CVSSv3 10/10 CVE-2020-5902 sui dispositivi ADC BIG-IP. Nella stessa data, gli utenti sono stati invitati a patchare i loro dispositivi da aziende, governi e banche di Fortune 500. Successivamente dopo due giorni, i ricercatori hanno condiviso gli exploit CVE-2020-5902 PoC. Con ciò, le mitigazioni iniziali non erano completamente efficaci e agli utenti è stato consigliato di installare la versione del software con patch per affrontare completamente la vulnerabilità.
Misure di rilevamento e recupero
L’agenzia raccomanda a tutte le organizzazioni di utilizzare lo strumento di rilevamento IoC CVE-2020-5902 di F5 come indicazione del compromesso e suggerisce loro di passare attraverso il seguente elenco di azioni che cercano i segni di sfruttamento:
- Mettere in quarantena i sistemi potenzialmente interessati
- Raccogliere e rivedere i manufatti come processi in esecuzione, autenticazioni insolite e reti recenti
- Distribuire una firma Snort basata su CISA per rilevare attività dannose
In caso di prove dello sfruttamento di CVE-2020-5902, le organizzazioni sono invitate a reagire alle misure di ripristino dei propri sistemi attraverso:
- Reimaging dei sistemi compromessi
- Provisioning di nuove credenziali dell’account
- Limitare completamente l’accesso all’interfaccia di gestione
- Implementazione della segmentazione della rete
L’agenzia afferma che “CISA prevede di assistere a continui attacchi che sfruttano dispositivi BIG-IP F5 senza patch e sollecita fortemente utenti e amministratori a aggiornare il loro software alle versioni fisse. CISA consiglia inoltre agli amministratori di distribuire la firma inclusa in questo avviso per aiutarli a determinare se i loro sistemi sono stati compromessi “.