Une faille critique de BIG-IP est ciblée par des attaques

0

La société de cybersécurité NCC Group a déclaré qu’elle avait détecté l’exploitation d’une faille récemment patchée dans les dispositifs de réseautage BIG-IP et BIG-IQ de F5.

Les tentatives d’exploitation ont commencé plus tôt cette semaine et se sont intensifiées au cours des dernières 24 heures, l’activité de numérisation de masse étant détectée par NCC Group et Bad Packets.

« À partir de cette semaine et surtout au cours des dernières 24 heures (le 18 mars 2021), nous avons observé de multiples tentatives d’exploitation contre notre infrastructure d’honeypots (pots de miel) », ont déclaré Rich Warren et Sander Laarhoven, du Groupe CCN.

« Ces connaissances, combinées au fait d’avoir reproduit l’ensemble de la chaîne d’exploitation, nous évaluons qu’un exploit public sera probablement bientôt disponible dans le domaine public. »

La vulnérabilité de sécurité que ces attaquants tentent d’exploiter est une exécution de commande à distance non authentifié identifiée comme CVE-2021-22986, et elle affecte la plupart des versions logicielles de BIG-IP et BIG-IQ.

Plusieurs chercheurs en sécurité ont déjà partagé le code d’exploitation de la preuve de concept après l’ingénierie inverse du patch de BIG-IP.

Une exploitation réussie de cette faille (avec une cote de gravité de 9,8/10) pourrait conduire à un compromis complet du système, y compris le déplacement latéral dans le réseau interne et l’interception du trafic d’applications du contrôleur.

Des cibles à hautes valeurs

Une vulnérabilité d’exécution de commande distance tout aussi critique avec une cote de gravité maximale de 10/10 identifiée comme CVE-2020-5902 dans les appareils BIG-IP ADC de F5 a également été fortement exploitée l’année dernière après avoir été patchée en Juillet 2020.

Le groupe de piratage Pioneer Kitten soutenu par l’Iran a commencé à cibler les entreprises qui utilisent des appareils BIG-IP non patchés juste après la divulgation de la faille.

Leurs attaques s’alignent sur une alerte émise en Août par le FBI et l’avertissement de pirates informatiques de l’Etat iranien qui tentent d’exploiter les appareils vulnérables Big-IP ADC depuis le début du mois de Juillet 2020.

f5 networks big-ip

CISA a publié un autre avis disant que les groupes de piratage soutenus par la Chine ont ciblé les agences gouvernementales en essayant de pirater les serveurs et appareils vulnérables F5, Microsoft Exchange, Citrix et Pulse Secure.

Il est conseillé aux organisations de patcher leurs appareils F5 BIG-IP dès que possible pour se défendre contre de futures attaques.

« Nous encourageons fortement tous les clients à mettre à jour leurs systèmes BIG-IP et BIG-IQ vers une version patchée dès que possible », a déclaré F5 après avoir publié des mises à jour de sécurité pour patcher CVE-2021-22986 et trois autres failles de sécurité critiques affectant ses produits.

« Pour remédier pleinement aux vulnérabilités critiques, tous les clients BIG-IP devront mettre à jour vers une version patchée. »

F5 fournit des informations sur la mise à niveau des appareils BIG-IP avec des détails sur plusieurs scénarios de mise à niveau dans ce guide de mise à niveau BIG-IP.

NCC Group fournit également des indicateurs de compromis, de logique de détection et de règles réseau Suricata pour aider les administrateurs à détecter et bloquer les attaques entrantes.

Laisser un commentaire