RCE plus critiques, évaluation de l'impact des vulnérabilités de F5

Quel est le problème ?

Le 10 mars 2021, un avis de sécurité a été publié par F5 comprenant 7 vulnérabilités, dont 4 sont des vulnérabilités critiques d'exécution de code à distance ayant un impact sur tous les modules BIG-IP et un nombre important de produits BIG-IQ.

• CVE-2021-22986(critique)
• CVE-2021-22987(critique)
• CVE-2021-22991(critique)
• CVE-2021-22992(critique)
• CVE-2021-22988 (élevé)
• CVE-2021-22989 (élevé)
• CVE-2021-22990 (Moyen)

Le 10 mars 2021, Censys a identifié 440 882 hôtes distincts utilisant des produits BIG-IP dans le monde entier, ce qui indique un impact potentiel important des vulnérabilités. Le plus grand nombre d'hôtes a été trouvé aux États-Unis (239 834), soit plus que dans les 10 autres pays les plus importants réunis.

Pourquoi est-ce important ?

Les équipements BIG-IP se situent généralement entre le réseau interne souple de l'entreprise et la coquille dure croustillante dont les organisations s'entourent - il peut s'agir de pare-feu, de services proxy, de services DNS, etc. Alors que la plupart de ces exploits nécessitent un accès local à l'interface de gestion de ces appareils, il y a un exploit qui semble être exploitable de l'extérieur. Une fois exploité, l'appareil compromis devient un point de départ pour l'infiltration du réseau. Un attaquant pourrait lancer d'autres attaques à l'intérieur du réseau à partir de cet appareil, ce qui lui conférerait une certaine persistance et un fort potentiel d'intrusion.

Nous avons pris un échantillon aléatoire d'hôtes basés aux États-Unis utilisant des produits BIG-IP et avons trouvé la répartition suivante par secteur d'activité. Les principaux secteurs d'activité aux États-Unis sont les suivants :

• Logiciels et services informatiques (par exemple, fournisseurs de services de messagerie électronique, autres services en ligne)
• Services d'éducation (par exemple, établissements d'enseignement, collèges communautaires)
• Équipements et services de santé (par exemple, hôpitaux, sociétés de dispositifs médicaux)
• Services financiers (par exemple, sociétés d'investissement)
• Agences gouvernementales

F5 encourage tous les utilisateurs à effectuer les mises à jour le plus rapidement possible. Si l'un de ces CVE est exploité avec succès, l'appareil compromis devient une voie d'infiltration du réseau. Comme nous l'avons déjà mentionné, un attaquant pourrait lancer d'autres attaques à l'intérieur du réseau à partir de ce dispositif, ce qui entraînerait une persistance de l'attaquant et un potentiel élevé de violation.

Que dois-je faire ?

Identifiez vos versions potentiellement vulnérables des produits BIG-IP et BIG-IQ et mettez à jour ces services conformément aux directives de F5. Si vous soupçonnez que l'un de vos appareils a été compromis ou si vous entamez une enquête pour rechercher une compromission potentielle, F5 a fourni des IoC et des conseils ici.

Pour trouver vos actifs, vous pouvez facilement exploiter Censys Search avec un compte gratuit. Si vous connaissez les plages IP de vos ressources Internet, vous pouvez utiliser cette requête pour trouver des ressources avec des produits BIG-IP. Remplacez "ORG-IP" et "MASK" par les plages IP et les masques de réseau de votre organisation.

bigip and (ORG-IP/MASK OR ORG-IP/MASK)

Tous les clients de Censys ASM ont déjà été informés des méthodes spécifiques de recherche des produits BIG-IP dans leur environnement et peuvent suivre ce lien pour le filtre dans la plate-forme Censys ASM.

Ressources

• Avis sur les vulnérabilités critiques de F5 : https://support.f5.com/csp/article/K02566623
• Considérations et conseils de F5 en cas de suspicion de compromission : https://support.f5.com/csp/article/K11438344
• Avis CISA : https://us-cert.cisa.gov/ncas/current-activity/2021/03/10/f5-security-advisory-rce-vulnerabilities-big-ip-big-iq