Publicité en cours de chargement...

Publicité en cours de chargement...

CVE-2020-5902 ou comment s’immiscer au cœur du SI via une brèche dans les solutions F5 BIG-IP

07 juil. 2020 - 11:27,
Tribune - Charles Blanc-Rolin
    

Celles et ceux qui ne se sont pas déconnectés ce week-end, auront probablement été interpellés par les Tweets du CERT-FR de l’ANSSI. En effet, il n’est pas courant que le CERT-FR publie des alertes le dimanche ! Premier Tweet à 12H26 pour annoncer la publication de l’alerte [1] sur le site du CERT, puis rappel à l’ordre à 23H34, autant dire que ça chauffe un peu…

En même temps une vulnérabilité permettant d’exécuter du code à distance sans nécessiter d’authentification dans une solution de sécurité réseau, ce n’est pas la joie, surtout quand les preuves de concepts et explications pullules un peu partout sur le Web.

La vulnérabilité CVE-2020-5902 affectant les systèmes F5 BIG-IP (gestion des réseaux, répartition de charge, pare-feu, VPN...) pourrait donc permettre à un attaquant de « facilement » mettre un pied dans le système d’information. La vulnérabilité obtient lescore CVSS maximum : 10/10.

On observe de plus en plus fréquemment, qu’il ne passe plus une semaine entre la révélation d’une vulnérabilité et son exploitation massive. En effet, le correctif de sécurité [2] pour cette vulnérabilité a été publié le 1erjuillet, et seulement 2 jours après, les premières attaques étaient observées. De quoi se poser la question, doit-on patcher sans tester ? Ce qui représente également un risque important en termes de disponibilité si l’application du correctif venait à dysfonctionner. Tester plus rapidement ? Pourquoi pas, mais dispose-t-on de suffisamment de ressources pour le faire ? Une bonne idée serait déjà d’éviter d’exposer l’interface d’administrationde telles solutions, comme ici l’interface Web TMUI (Traffic Management User Interface), en particulier quand elles ne proposent pas d’authentification deux facteurs et que le niveau de chiffrement du flux Web est assez faible. À noter également qu’il faut bien connaître son infra pour savoir quelles solutions la compose. Ne rigolez pas, on fait des découvertes tous les jours.

L’exploitation de la vulnérabilité depuis un réseau interne, cloisonné serait déjà beaucoup plus compliqué. Oui mais voilà, certains ont ouvert la porte en grand ! D’après les données recensées par Shodan, la vulnérabilité était encore présente dimanche soir derrière 16 adresses ip publiques françaises.

 

Cerise sur le gâteau, Shodan référence même les machines vulnérables ! Aïe !

Preuve que ça n’arrive pas qu’aux petits, dans le lot deux sociétés du CAC 40, dont une pour laquelle la vulnérabilité est avérée sur trois de ses adresses IP. Le secteur de la santé n’est pas épargné non plus, mais pour une fois les mauvais élèves ne sont pas des petits établissements, mais de gros prestataires.

Rassurons-nous, la quasi-totalité des accès ont été fermés à l’heure où j’écris ces lignes, quant aux derniers, j’imagine qu’ils ne devraient pas tarder à s’éteindre non plus.

Les POCs publics que j’ai pu voir permettent d’accéder à certains fichiers de configuration, licences, listes des utilisateurs (aïe, une épine RGPD pourrait bien se rajouter à ce buisson de sécurité) et exécuter des commandes dans certains cas, comme afficher les interfaces réseau ou encore le condensat du mot de passe administrateur, de quoi donner déjà un os à ronger aux attaquants même les moins expérimentés.

Comme la confiance n’exclue pas le contrôle, voici quelques outils pour vous permettre de vérifier si vos systèmes internes sont vulnérables :

L’excellent outil Open Source d’analyse Web publié par le groupe Michelin, ChopChop [3] que j’espère pouvoir vous présenter plus en détails prochainement et qui grâce à la réactivité de son auteur, Paul, intègre désormais une règle permettant de détecter la CVE-2020-5902 que j’ai pu proposer, ça c’est cool !

Un script pour NMAP [4].

 

Un scanner en python [5].

Bonne investigation et bon patching.

 


[1] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-015/

[2] https://support.f5.com/csp/article/K52145254

[3] https://github.com/michelin/ChopChop

[4] https://github.com/rwincey/CVE-2020-5902-NSE

[5] https://github.com/cybersecurityworks553/scanner-CVE-2020-5902

Avez-vous apprécié ce contenu ?

A lire également.

Illustration HLTH 2025, un Salon sous le signe de l’innovation distribuée

HLTH 2025, un Salon sous le signe de l’innovation distribuée

23 juin 2025 - 21:18,

Actualité

- DSIH

HLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...

Illustration Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

Cour de cassation versus RGPD : 2-0. Et ce n’est pas une bonne nouvelle !

23 juin 2025 - 18:14,

Tribune

-
Cédric Cartau

Ça fait deux fois.

Illustration Protéger la totalité du parcours du patient pour préserver la continuité des soins : un impératif face aux cybermenaces

Protéger la totalité du parcours du patient pour préserver la continuité des soins : un impératif face aux cybermenaces

23 juin 2025 - 15:53,

Tribune

-
Moh Waqas

Les hôpitaux sont aujourd’hui les cibles privilégiées des cyberattaques, menaçant la confidentialité des données, la disponibilité des services et, surtout, la sécurité des patients. Dans le contexte géopolitique actuel, marqué par la cyberguerre et l’escalade des tensions internationales, il est ur...

Illustration CareLib : une innovation co-construite au service du soin à l’EHPAD Les Charmilles

CareLib : une innovation co-construite au service du soin à l’EHPAD Les Charmilles

23 juin 2025 - 10:49,

Actualité

- Maellie Vezien, DSIH

En EHPAD, un résident chute en moyenne 1,7 fois par an, contre 0,65 à domicile. Un chiffre qui en dit long sur l’urgence de pouvoir détecter rapidement ces incidents et offrir un moyen simple et fiable d’appeler un soignant, peu importe l’endroit où se trouve le résident.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.