Le dimanche 5 juillet 2020, nos pots de miel ont détecté une activité de balayage de masse opportuniste provenant de plusieurs hôtes ciblant des serveurs F5 BIG-IP vulnérables à CVE-2020-5902. Cette vulnérabilité critique permet à des attaquants à distance non authentifiés d’exécuter des commandes arbitraires sur le serveur ciblé.
Nos derniers scans CVE-2020-5902 ont identifié 3 012 hôtes F5 vulnérables dans le monde entier.
Les résultats des scans de vulnérabilité Bad Packets sont librement disponibles pour les équipes gouvernementales autorisées CERT, CSIRT et ISAC.
Soumettez votre demande ici : https://t.co/0eV9Go1Fsw https://t.co/Sh4lAHpQVn
– Bad Packets (@bad_packets) July 7, 2020
- Combien d’hôtes sont vulnérables à CVE-2020-5902?
- Où sont situés les serveurs vulnérables ?
- Quel type d’organisations sont affectées par CVE-2020-5902?
- Comment CVE-2020-5902 est-il exploité et quel est le risque ?
- Quelles sont les étapes d’atténuation/remédiation suggérées ?
- Indicateurs de compromission (IOC)
- Comment obtenir notre rapport CVE-2020-5902
- A propos de Bad Packets® CTI
Combien d’hôtes sont vulnérables à CVE-2020-5902?
En utilisant les données fournies par BinaryEdge, nous avons scanné 8 204 serveurs F5 BIG-IP pour déterminer lesquels étaient vulnérables. Nos scans ont trouvé un total de 3 012 hôtes IPv4 uniques dans le monde entier vulnérables à CVE-2020-5902.
Aucune information sensible n’a été divulguée ou enregistrée pendant nos scans car nous avons seulement envoyé une requête HTTP HEAD pour confirmer la vulnérabilité.
Où sont situés les serveurs vulnérables ?
Des hôtes vulnérables à CVE-2020-5902 ont été trouvés dans 66 pays à travers le monde.
Cette carte interactive montre le total des hôtes vulnérables trouvés par pays. Dans l’ensemble, les serveurs F5 les plus vulnérables étaient situés aux États-Unis.
Quel type d’organisations sont affectées par CVE-2020-5902?
635 systèmes autonomes uniques (fournisseurs de réseaux) ont été trouvés pour avoir des points d’extrémité F5 vulnérables sur leur réseau. Nous avons découvert que cette vulnérabilité affecte actuellement :
- Les agences gouvernementales
- Les universités et les écoles publiques
- Les hôpitaux et les fournisseurs de soins de santé
- Les grandes institutions financières et bancaires
- Les entreprises du Fortune 500
Comment CVE-2020-5902 est-il exploité et quel est le risque ?
L’interface utilisateur de gestion du trafic (TMUI), également connue sous le nom d’utilitaire de configuration, utilisée pour gérer les serveurs F5 présente une vulnérabilité d’exécution de code à distance (RCE). Cette vulnérabilité permet aux attaquants non authentifiés ayant un accès réseau au serveur F5 vulnérable d’exécuter des commandes système arbitraires, de créer ou de supprimer des fichiers, de désactiver des services et/ou d’exécuter du code Java arbitraire.
Une exploitation plus poussée de cette vulnérabilité peut permettre aux acteurs de la menace de prendre pied à l’intérieur des réseaux ciblés et de mener des activités malveillantes, comme la diffusion de ransomware. Le code de preuve de concept (PoC) démontrant l’exploitation a été publié publiquement sur GitHub, Twitter et d’autres plateformes.
Quelles sont les étapes d’atténuation/remédiation suggérées ?
F5 a fourni une liste de produits impactés par CVE-2020-5902 et comment obtenir les mises à jour correspondantes. Il est recommandé de mettre à niveau vers une version logicielle fixe pour atténuer complètement cette vulnérabilité.
Compte tenu du niveau d’activité de balayage en cours ciblant les serveurs F5 vulnérables, les administrateurs système doivent effectuer une mise à jour ASAP et examiner les serveurs affectés pour détecter les signes de compromission.
Indicateurs de compromission (IOC)
Le flux CTI Bad Packets® des hôtes effectuant des balayages liés à CVE-2020-5092, l’activité d’exploitation et les indicateurs de compromission est disponible pour nos clients CTI de recherche et d’entreprise.
Consultez notre API pour « tags=CVE-2020-5902 » afin de parcourir les dernières activités observées par nos pots de miel.
Les scans de masse opportunistes et l’activité d’exploitation continuent de cibler les serveurs F5 BIG-IP vulnérables à CVE-2020-5902.
Consultez notre API pour « tags=CVE-2020-5902 » pour obtenir une liste complète des charges utiles uniques et des indicateurs pertinents. #threatintel pic.twitter.com/Gem098SOa2
– Bad Packets (@bad_packets) July 7, 2020
Exemple de charge utile de malware DDoS ciblant les serveurs F5 vulnérables illustré ci-dessous.
Charge utile de malware DDoS active détectée :
http://panel.devilsdennet/iot.sh
http://185.172.111.233:999/sisi/*
(https://t.co/qmOnNTxywH)Tentative d’exploitation IP source : 2.57.122.96 (
)
Cible : F5 BIG-IP TMUI RCE vulnérabilité CVE-2020-5902 (https://t.co/y5Uor8B0qi) #threatintel pic.twitter.com/oprQHizid7
– Bad Packets (@bad_packets) July 6, 2020
Comment obtenir notre rapport CVE-2020-5902
Notre rapport CVE-2020-5902 est librement disponible pour les équipes gouvernementales autorisées CERT, CSIRT, ISAC, et les forces de l’ordre à examiner. L’adhésion à l’équipe FIRST est préférable, mais pas obligatoire. En raison de la nature sensible de cette vulnérabilité, les serveurs F5 affectés détectés par les scans CTI Bad Packets® ne seront pas partagés publiquement.
L’accès commercial à notre rapport CVE-2020-5902 est également disponible, veuillez remplir ce formulaire pour demander une copie.
Nous avons partagé nos résultats directement avec l’US-CERT, MS-ISAC et d’autres organismes fédéraux américains chargés de l’application de la loi pour une enquête plus approfondie et des mesures correctives. En outre, nous avons notifié ces organisations : A-ISAC, CCCS, CERT-BDF, CERT.be, CERT.br, CERT-IL, CERT-In, CERT La Poste, CERT-PH, CERT NZ, CITC, DefCERT, E-ISAC, GovCERT.HK, H-ISAC, HKCERT, ID-SIRTII/CC, JPCERT/CC, KN-CERT, KrCERT/CC, MyCERT, NCIS (FLTCYBERCOM), NCIIPC, REN-ISAC, SingCERT, ThaiCERT, TT-CSIRT, TWCERT/CC, TWCSIRT, TWNCERT, et Z-CERT.
Bad Packets tient à remercier l’Agence de cybersécurité et de sécurité des infrastructures (CISA) et l’Israel National Cyber Directorate (INCD) pour l’aide apportée à la notification des organisations touchées.
@CISAgov se fait l’écho de ce message. Merci à @bad_packets de garder l’œil ouvert et d’améliorer notre capacité d’identification et de notification ! https://t.co/dpwBbl9k4l
– Chris Krebs (@CISAKrebs) 9 juillet 2020
A propos de Bad Packets® CTI
Bad Packets fournit des données de vulnérabilité critiques aux équipes CERT et aux organisations ISAC du monde entier. Nous surveillons les cybermenaces émergentes qui ciblent les réseaux d’entreprise, les appareils de l’internet des objets (IoT) et les environnements de cloud computing.
Bad Packets® CTI est continuellement mis à jour avec les derniers indicateurs à mesure que de nouvelles menaces sont détectées. Un flux conservé d’activités d’exploitation, de charges utiles de logiciels malveillants et de serveurs de commande et de contrôle (C2) utilisés par les acteurs de la menace est disponible via notre point de terminaison RESTful API.
Suivez-nous sur Twitter pour les dernières mises à jour.