Publicité en cours de chargement...

Publicité en cours de chargement...

CVE-2020-5902 ou comment s’immiscer au cœur du SI via une brèche dans les solutions F5 BIG-IP

07 juil. 2020 - 11:27,
Tribune - Charles Blanc-Rolin
    

Celles et ceux qui ne se sont pas déconnectés ce week-end, auront probablement été interpellés par les Tweets du CERT-FR de l’ANSSI. En effet, il n’est pas courant que le CERT-FR publie des alertes le dimanche ! Premier Tweet à 12H26 pour annoncer la publication de l’alerte [1] sur le site du CERT, puis rappel à l’ordre à 23H34, autant dire que ça chauffe un peu…

En même temps une vulnérabilité permettant d’exécuter du code à distance sans nécessiter d’authentification dans une solution de sécurité réseau, ce n’est pas la joie, surtout quand les preuves de concepts et explications pullules un peu partout sur le Web.

La vulnérabilité CVE-2020-5902 affectant les systèmes F5 BIG-IP (gestion des réseaux, répartition de charge, pare-feu, VPN...) pourrait donc permettre à un attaquant de « facilement » mettre un pied dans le système d’information. La vulnérabilité obtient lescore CVSS maximum : 10/10.

On observe de plus en plus fréquemment, qu’il ne passe plus une semaine entre la révélation d’une vulnérabilité et son exploitation massive. En effet, le correctif de sécurité [2] pour cette vulnérabilité a été publié le 1erjuillet, et seulement 2 jours après, les premières attaques étaient observées. De quoi se poser la question, doit-on patcher sans tester ? Ce qui représente également un risque important en termes de disponibilité si l’application du correctif venait à dysfonctionner. Tester plus rapidement ? Pourquoi pas, mais dispose-t-on de suffisamment de ressources pour le faire ? Une bonne idée serait déjà d’éviter d’exposer l’interface d’administrationde telles solutions, comme ici l’interface Web TMUI (Traffic Management User Interface), en particulier quand elles ne proposent pas d’authentification deux facteurs et que le niveau de chiffrement du flux Web est assez faible. À noter également qu’il faut bien connaître son infra pour savoir quelles solutions la compose. Ne rigolez pas, on fait des découvertes tous les jours.

L’exploitation de la vulnérabilité depuis un réseau interne, cloisonné serait déjà beaucoup plus compliqué. Oui mais voilà, certains ont ouvert la porte en grand ! D’après les données recensées par Shodan, la vulnérabilité était encore présente dimanche soir derrière 16 adresses ip publiques françaises.

 

Cerise sur le gâteau, Shodan référence même les machines vulnérables ! Aïe !

Preuve que ça n’arrive pas qu’aux petits, dans le lot deux sociétés du CAC 40, dont une pour laquelle la vulnérabilité est avérée sur trois de ses adresses IP. Le secteur de la santé n’est pas épargné non plus, mais pour une fois les mauvais élèves ne sont pas des petits établissements, mais de gros prestataires.

Rassurons-nous, la quasi-totalité des accès ont été fermés à l’heure où j’écris ces lignes, quant aux derniers, j’imagine qu’ils ne devraient pas tarder à s’éteindre non plus.

Les POCs publics que j’ai pu voir permettent d’accéder à certains fichiers de configuration, licences, listes des utilisateurs (aïe, une épine RGPD pourrait bien se rajouter à ce buisson de sécurité) et exécuter des commandes dans certains cas, comme afficher les interfaces réseau ou encore le condensat du mot de passe administrateur, de quoi donner déjà un os à ronger aux attaquants même les moins expérimentés.

Comme la confiance n’exclue pas le contrôle, voici quelques outils pour vous permettre de vérifier si vos systèmes internes sont vulnérables :

L’excellent outil Open Source d’analyse Web publié par le groupe Michelin, ChopChop [3] que j’espère pouvoir vous présenter plus en détails prochainement et qui grâce à la réactivité de son auteur, Paul, intègre désormais une règle permettant de détecter la CVE-2020-5902 que j’ai pu proposer, ça c’est cool !

Un script pour NMAP [4].

 

Un scanner en python [5].

Bonne investigation et bon patching.

 


[1] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-015/

[2] https://support.f5.com/csp/article/K52145254

[3] https://github.com/michelin/ChopChop

[4] https://github.com/rwincey/CVE-2020-5902-NSE

[5] https://github.com/cybersecurityworks553/scanner-CVE-2020-5902

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Illustration Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !

30 juin 2025 - 20:50,

Communiqué

- APSSIS

L’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.

La cyber et les sacs de luxe

30 juin 2025 - 20:44,

Tribune

-
Cédric Cartau

C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.