CVE-2020-5902 ou comment s’immiscer au cœur du SI via une brèche dans les solutions F5 BIG-IP

Celles et ceux qui ne se sont pas déconnectés ce week-end, auront probablement été interpellés par les Tweets du CERT-FR de l’ANSSI. En effet, il n’est pas courant que le CERT-FR publie des alertes le dimanche ! Premier Tweet à 12H26 pour annoncer la publication de l’alerte [1] sur le site du CERT, puis rappel à l’ordre à 23H34, autant dire que ça chauffe un peu…

En même temps une vulnérabilité permettant d’exécuter du code à distance sans nécessiter d’authentification dans une solution de sécurité réseau, ce n’est pas la joie, surtout quand les preuves de concepts et explications pullules un peu partout sur le Web.

La vulnérabilité CVE-2020-5902 affectant les systèmes F5 BIG-IP (gestion des réseaux, répartition de charge, pare-feu, VPN...) pourrait donc permettre à un attaquant de « facilement » mettre un pied dans le système d’information. La vulnérabilité obtient lescore CVSS maximum : 10/10.

On observe de plus en plus fréquemment, qu’il ne passe plus une semaine entre la révélation d’une vulnérabilité et son exploitation massive. En effet, le correctif de sécurité [2] pour cette vulnérabilité a été publié le 1^erjuillet, et seulement 2 jours après, les premières attaques étaient observées. De quoi se poser la question, doit-on patcher sans tester ? Ce qui représente également un risque important en termes de disponibilité si l’application du correctif venait à dysfonctionner. Tester plus rapidement ? Pourquoi pas, mais dispose-t-on de suffisamment de ressources pour le faire ? Une bonne idée serait déjà d’éviter d’exposer l’interface d’administrationde telles solutions, comme ici l’interface Web TMUI (Traffic Management User Interface), en particulier quand elles ne proposent pas d’authentification deux facteurs et que le niveau de chiffrement du flux Web est assez faible. À noter également qu’il faut bien connaître son infra pour savoir quelles solutions la compose. Ne rigolez pas, on fait des découvertes tous les jours.

L’exploitation de la vulnérabilité depuis un réseau interne, cloisonné serait déjà beaucoup plus compliqué. Oui mais voilà, certains ont ouvert la porte en grand ! D’après les données recensées par Shodan, la vulnérabilité était encore présente dimanche soir derrière 16 adresses ip publiques françaises.

 

Cerise sur le gâteau, Shodan référence même les machines vulnérables ! Aïe !

Preuve que ça n’arrive pas qu’aux petits, dans le lot deux sociétés du CAC 40, dont une pour laquelle la vulnérabilité est avérée sur trois de ses adresses IP. Le secteur de la santé n’est pas épargné non plus, mais pour une fois les mauvais élèves ne sont pas des petits établissements, mais de gros prestataires.

Rassurons-nous, la quasi-totalité des accès ont été fermés à l’heure où j’écris ces lignes, quant aux derniers, j’imagine qu’ils ne devraient pas tarder à s’éteindre non plus.

Les POCs publics que j’ai pu voir permettent d’accéder à certains fichiers de configuration, licences, listes des utilisateurs (aïe, une épine RGPD pourrait bien se rajouter à ce buisson de sécurité) et exécuter des commandes dans certains cas, comme afficher les interfaces réseau ou encore le condensat du mot de passe administrateur, de quoi donner déjà un os à ronger aux attaquants même les moins expérimentés.

Comme la confiance n’exclue pas le contrôle, voici quelques outils pour vous permettre de vérifier si vos systèmes internes sont vulnérables :

L’excellent outil Open Source d’analyse Web publié par le groupe Michelin, ChopChop [3] que j’espère pouvoir vous présenter plus en détails prochainement et qui grâce à la réactivité de son auteur, Paul, intègre désormais une règle permettant de détecter la CVE-2020-5902 que j’ai pu proposer, ça c’est cool !

Un script pour NMAP [4].

 

Un scanner en python [5].

Bonne investigation et bon patching.

 

---

[1] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-015/

[2] https://support.f5.com/csp/article/K52145254

[3] https://github.com/michelin/ChopChop

[4] https://github.com/rwincey/CVE-2020-5902-NSE

[5] https://github.com/cybersecurityworks553/scanner-CVE-2020-5902