F5 BIG-IP RCE欠陥の検出および回復対策

CISAまたはCyber​​Security and Infrastructure Security Agencyは、F5 Big- IP ADCデバイスに影響を与える不正なRCE CVE-2020-5902の脆弱性のアクティブ化の悪用について確認するレポートを公開しました。米国に拠点を置くセキュリティエージェンシーは、ユーザーがシステムが危険にさらされているかどうかを確認し、悪用されたF5デバイスを回復できるように、追加の緩和策と検出策を提供しました。

エージェンシーは、「CISAは、この脆弱性に対するF5のパッチリリースから数日以内に、スキャンと偵察を確認し、侵害を確認しました。早くも2020年7月6日、CISAはこの脆弱性の存在について広範なスキャン活動を確認しています連邦省庁を超えて—この活動は現在、このアラートの発行時点で行われています。」

調査中に、庁は2つの標的に対する攻撃の成功を確認することができました。

CISAは、複数のセクターにまたがるいくつかのエンティティと協力して、この脆弱性に関連する潜在的な侵害を調査しています。 CISAは2つの妥協点を確認し、調査を続けています。

今月の初めに、F5 Networksは、BIG-IP ADCデバイスの重要な10/10 CVSSv3レーティングCVE-2020-5902脆弱性のセキュリティアップデートをリリースしました。同じ日に、ユーザーはFortune 500の企業、政府、銀行からデバイスにパッチを適用するように求められました。その後2日後、研究者たちはCVE-2020-5902 PoCエクスプロイトについて共有しました。そのため、最初の緩和策は完全に効果的ではなく、脆弱性に完全に対処するためにソフトウェアのパッチバージョンをインストールするようユーザーにアドバイスしました。

検出および回復対策

 代理店は、すべての組織に、F5のCVE-2020-5902 IoC検出ツールを侵害の指標として使用することを推奨し、悪用の兆候を探す次のアクションリストを実行するように提案します。

  • 影響を受ける可能性のあるシステムを隔離する
  • 実行中のプロセス、異常な認証、最近のネットワークなどのアーティファクトを収集して確認する
  • CISAベースのSnortシグニチャを展開して、悪意のあるアクティビティを検出する

CVE-2020-5902の悪用の証拠が見つかった場合、組織は次の方法でシステムの回復手段に対応するように求められます。

  • 侵害されたシステムを再イメージングする
  • 新しいアカウント資格情報のプロビジョニング
  • 管理インターフェイスへのアクセスを最大限に制限する
  • ネットワークセグメンテーションの実装

代理店は、「CISAは、パッチが適用されていないF5 BIG-IPデバイスを悪用する攻撃が継続すると見込んでおり、ユーザーと管理者にソフトウェアを修正バージョンにアップグレードするよう強く要請します。CISAは、このアラートに含まれるシグネチャを展開して、彼らのシステムは危険にさらされています。」