F5 Networks: une vulnérabilité critique doit être patchée

Les experts en sécurité informatique demandent aux entreprises qui utilise des périphériques réseaux F5 Networks de déployer un correctif urgent pour une vulnérabilité critique qui est activement exploitée par des pirates informatiques pour supprimer les informations d’identification, lancer des logiciels malveillants, etc.

Il y’a 2 semaines, F5 Networks a publié des correctifs urgents pour une faille critique d’exécution de code à distance (CVE-2020-5902), qui a un score CVSS de 10 sur 10. La faille se trouve dans les contrôleurs de livraison de l’interface de configuration de l’application BIG-IP, qui sont utilisés pour diverses fonctions de mise en réseau, y compris la gestion de la sécurité des applications et la répartition de charge(load balancing). Malgré la disponibilité d’un correctif, Shodan montre que près de 8 500 appareils vulnérables sont toujours accessibles sur Internet.

Peu de temps après que la faille ait été révélée, des exploits ont vu le jour, conduisant au scannage de masse des appareils vulnérables par des attaquants et finalement à des exploits dans la nature. Les chercheurs affirment avoir vu des pirates cibler la faille pour diverses activités malveillantes, notamment le lancement de la variante de Mirai nommée DvrHelper, le déploiement de logiciels malveillants d’extraction de crypto-monnaie et la collecte d’informations d’identification «de manière automatisée».

f5 networks

Rich Warren, consultant principal en sécurité pour NCC Group, a déclaré sur Twitter que «ce matin, nous constatons une augmentation des tentatives d’exécution de code à distance contre nos honeypots qui utilisent une combinaison du module public Metasploit ou similaire via Python».

“L’exploitation de la faille est triviale”, a déclaré Mikhail Klyuchnikov de Positive Technologies, qui a initialement découvert la faille. Il a aussi expliqué que pour exploiter la vulnérabilité, un attaquant non authentifié n’aurait qu’à envoyer une requête HTTP spécialement conçue au serveur hébergeant l’utilitaire Traffic Management User Interface (TMUI) pour la configuration de BIG-IP.

“En exploitant cette vulnérabilité, un attaquant distant ayant accès à l’utilitaire de configuration de BIG-IP pourrait, sans autorisation, effectuer une exécution de code à distance (RCE1)”, a déclaré Klyuchnikov. «L’attaquant peut créer ou supprimer des fichiers, désactiver des services, intercepter des informations, exécuter des commandes système arbitraires et du code Java, compromettre complètement le système et poursuivre d’autres cibles, telles que le réseau interne.»

Les versions vulnérables de BIG-IP (11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x) doivent être mises à jour vers les versions patchées correspondantes (11.6.5.2, 12.1.5.2, 13.1. 3.4, 14.1.2.6, 15.1.0.4).

Alors que des exploits plus actifs sont détectés dans la nature, F5 Networks, l’US Cyber ​​Command et Chris Krebs, directeur de la Cybersecurity and Infrastructure Security Agency (CISA), ont tous recommandé aux administrateurs d’appliquer les correctifs de sécurité dès que possible.

f5 networks

Une autre faille qui pourrait permettre à un attaquant authentifié de lancer des attaques de script intersite a également été corrigée dans BIG-IP. La faille (CVE-2020-5903) permet aux attaquants d’exécuter du code JavaScript malveillant en tant qu’utilisateur connecté.

Autres récents problèmes de sécurités de F5 Networks

F5 Networks a précédemment été associé à des problèmes de sécurité en 2019 lorsqu’il a été révélé que son application VPN (ainsi que celles construites par Cisco, Palo Alto Networks et Pulse Secure) stockait de manière incorrecte des jetons d’authentification et des cookies de session sans chiffrement sur l’ordinateur d’un utilisateur.

F5 Networks, Inc. est une entreprise informatique américaine fondée en 1996 établie à Seattle qui commercialise des équipements réseau.

Dans les années 1990, F5 Networks a produit l’un des premiers répartiteurs de charge.

Le produit phare de la société, BIG-IP était à l’origine un répartiteur de charge mais s’est vu doté de fonctions additionnelles comme le contrôle d’accès et la sécurité applicative. Des modules complémentaires permettent la compression des données, le filtrage d’e-mail et la gestion de la bande passante.

Si cet article vous a plu, jetez un œil à notre article précédent.