Invasores estão explorando a vulnerabilidade nota 10 no F5 BIG-IP

30/07/2020 mindsecblog Notícias 1

Invasores estão explorando a vulnerabilidade nota 10 no F5 BIG-IP. Invasores podem exfiltrar dados, acessar redes, executar comandos, criar ou excluir arquivos e desabilitar serviços.

A Agência de Segurança Cibernética e Infraestrutura dos EUA está avisando que os agentes de ameaças estão explorando ativamente uma vulnerabilidade de execução remota de código nos produtos de rede BIG-IP da F5, que podem permitir que invasores exfiltrem dados, acessem redes, executem comandos, criem ou excluam arquivos e desabilitem serviços.

Segundo o site BankInfo Security do ISMG Group, os pesquisadores de segurança da F5 e o Cyber Command dos EUA, pediram aos usuários que corrigissem a vulnerabilidade nos produtos de rede BIG-IP, rastreados como CVE-2020-5902 . A empresa de segurança Expanse alertou que cerca de 8.000 instalações não foram corrigidas para essa falha .

A CISA (Cybersecurity Infrastructure Security Agency), que faz parte do Departamento de Segurança Interna dos EUA, observa em seu aviso que, desde 6 de julho, os atores de ameaças estão examinando e realizando reconhecimento à procura de instalações vulneráveis de instalações BIG-IP, e agora alguns atacantes estão começando a explorar a vulnerabilidade “Os dispositivos F5 BIG-IP sem patch são um alvo atraente para atores mal-intencionados. As organizações afetadas que não aplicaram o patch para corrigir esta vulnerabilidade crítica de execução remota de código (RCE) correm o risco de um invasor explorar o CVE-2020-5902 para assumir o controle de seu sistema.”

A CISA observou digitalização e reconhecimento, bem como compromissos confirmados, alguns dias após o lançamento do patch da F5 para esta vulnerabilidade.

A CISA confirmou que até agora, duas organizações foram comprometidas, mas está investigando outros ataques, segundo o alerta. “A CISA conduziu compromissos de resposta a incidentes no governo dos EUA e em entidades comerciais, onde atores maliciosos de ameaças cibernéticas exploraram o CVE-2020-5902 – uma vulnerabilidade do RCE na Interface do Usuário de Gerenciamento de Tráfego BIG-IP (TMUI) – para controlar os sistemas das vítimas“. de acordo com o alerta emitido sexta-feira.

A CISA não ofereceu mais detalhes, mas explicou que as explorações de prova de conceito estão disponíveis para esta vulnerabilidade há várias semanas.

Produtos amplamente utilizados

Quando a vulnerabilidade foi divulgada pela primeira vez em 3 de julho, o CVE-2020-5902 recebeu uma pontuação de 10 em 10 na escala de gravidade CVSSv3, que é uma das razões pelas quais agências governamentais como o Comando Cibernético dos EUA e o Centro de Segurança da Internet MS-ISAC emitiram avisos solicitando correção imediata para a vulnerabilidade.

Vários grandes bancos, agências governamentais e provedores de serviços de Internet em todo o mundo usam os produtos de rede BIG-IP, juntamente com a Microsoft e a Oracle.

A vulnerabilidade CVE-2020-5902 está localizada na porta de gerenciamento da Interface do Usuário de Gerenciamento de Tráfego, de acordo com a empresa de segurança Positive Technologies , que descobriu a vulnerabilidade e chamou a atenção da F5 no início deste mês.

Mitigação

Em alerta, a CISA observa que espera ver mais ataques explorando produtos de rede F5 BIG-IP sem patch e recomenda fortemente que usuários e administradores atualizem seus sistemas e apliquem correções sempre que possível.

Além de incentivar as organizações a corrigir, o CISA fornece medidas de detecção e estratégias de mitigação. Ele recomenda que os administradores verifiquem o aviso de segurança da F5 quanto a indicadores de comprometimento e usem a Ferramenta de detecção de IoC CVE-2020-5902 da F5 para verificar a possibilidade de exploração. A agência também recomenda que as organizações colocem em quarentena ou tomem sistemas offline que foram potencialmente afetados por uma exploração.

A CISA recomenda que os administradores consultem o Aviso de segurança F5 K52145254 para obter indicadores de comprometimento e a Ferramenta de detecção de IoC CVE-2020-5902 da F5. A CISA também recomenda que as organizações concluam as seguintes ações ao conduzir sua busca por essa exploração:

Colocar em quarentena ou colocar sistemas potencialmente afetados offline
Coletar e revisar artefatos, como processos / serviços em execução, autenticações incomuns e conexões de rede recentes
Implante a seguinte assinatura Snort criada pelo CISA para detectar atividades maliciosas:

alert tcp any any -> any $HTTP_PORTS (msg:"BIG-IP:HTTP URI GET contains '/tmui/login.jsp/..|3b|/tmui/':CVE-2020-5902"; sid:1; rev:1; flow:established,to_server; content:"/tmui/login.jsp/..|3b|/tmui/"; http_uri; fast_pattern:only; content:"GET"; nocase; http_method; priority:2; reference:url,github.com/yassineaboukir/CVE-2020-5902; reference:cve,2020-5902; metadata:service http;)

A CISA recomenda enfaticamente às organizações que ainda não o fizeram que atualizem seu software BIG-IP para os patches correspondentes do CVE-2020-5902. Se as organizações detectarem evidências de exploração do CVE-2020-5902 após aplicar patches e aplicar as medidas de detecção neste alerta, a CISA recomenda tomar medidas imediatas para reconstituir os sistemas afetados.

Se a equipe de segurança de TI de uma organização descobrir comprometimento do sistema, a CISA recomenda:

Reimaginar hosts comprometidos
Provisionar novas credenciais de conta
Limite o acesso à interface de gerenciamento ao máximo possível
Implementar segmentação de rede
- Nota: a segmentação de rede é um mecanismo de segurança muito eficaz para ajudar a impedir que um invasor propague explorações ou se mova lateralmente dentro de uma rede interna. A segregação separa os segmentos de rede com base na função e na funcionalidade. Uma rede segregada com segurança pode limitar a propagação de ocorrências maliciosas, reduzindo o impacto de invasores que se posicionam em algum lugar da rede.