Vulnérabilités dans F5 BIG-IP, Active Directory, les pare-feux Zyxel et des commutateurs réseau... Des établissements qui ne patchent pas, et des attaquants qui élargissent leur business… pas de quoi s’ennuyer !

Le 4 mai dernier, l’éditeur F5 annonçait un correctif pour la CVE-2022-1388 [1], une vulnérabilité permettant de réaliser une exécution de code arbitraire à distance, sans authentification, affectant sa gamme BIG-IP. À la lecture des publications techniques, on pourrait se demander si cette vulnérabilité n’était une porte dérobée laissée là pour pouvoir revenir au besoin tellement elle est simple à exploiter. Quelques entêtes HTTP à présenter et l’API REST de BIG-IP autorise le passage de commandes sur le système avec les privilèges root : splendide !

Autant dire qu’elle permet d’être maître à bord et de faire tout ce que l’on souhaite sur le système :

En France, sur le port 443 par défaut, il ne semble pas y avoir de systèmes vulnérables à la CVE-2022-1388, exposés sur Internet d’après Shodan :

Il est d’ailleurs assez rigolo de voir disparaître de jour en jour des machines exposées.
En revanche, comme le souligne le CERT-FR de l’ANSSI dans son alerte sur le sujet [2], il ne faut pas exclure la possibilité pour un attaquant qui aurait déjà un pied dans le réseau interne d’exploiter cette vulnérabilité pour continuer de gagner du terrain.

De nombreux codes d’exploitation sont disponibles publiquement depuis au moins le 7 mai, donc autant dire que les attaquants s’en donnent à cœur joie et n’hésitent pas à prendre le contrôle des systèmes vulnérables dont l’interface web est directement exposée sur Internet, comme le montre Germán Fernández avec plusieurs exemples [3].
Il n’y a malheureusement pas à aller chercher bien loin pour trouver des machines vulnérables d’exposées sur Internet :

Il est à noter que l’excellent scanner de vulnérabilités Nuclei [4] intègre déjà un template permettant d’identifier des systèmes BIG-IP vulnérables potentiellement présents sur son SI.

Cette vulnérabilité vous rappellera peut-être un peu la CVE-2020-5902 [5], exploitable via l’interface d’administration tmui révélée il y a un peu moins de deux ans, et qui pouvait, à l’époque permettre de rentrer notamment chez certains hébergeurs HDS et SecNumCloud.

Le 12 mai, c’est Jake Baines de la société Rapid 7 qui révélait publiquement la vulnérabilité CVE-2022-30525 [6] affectant plusieurs modèles de pare-feux Zyxel très répandus en France sur des SI de petite et moyenne taille et permettant d’exécuter du code arbitraire à distance avec les privilèges « nobody ». Même si les possibilités sont beaucoup plus limitées que sur BIG-IP puisque les privilèges sont moins élevés, un attaquant pourra récupérer énormément d’informations intéressantes, notamment les condensats des mots de passe des utilisateurs et administrateurs dans le but d’élever ces privilèges. À noter également que cette vulnérabilité n’est pas exploitable directement contrairement à BIG-IP où la CVE-2022-1388 permet d’obtenir un shell directement, ici l’exploit proposé permet d’obtenir un reverse shell en amenant la machine vulnérable à se connecter sur la machine de l’attaquant.

En France, d’après Shodan et au moment où j’écris ces lignes plus de 5600 équipements concernés par cette vulnérabilité seraient exposés sur Internet (pas tous vulnérables, certains sont déjà patchés).

Dans le lot, il y a très probablement de petites structures de santé.

Là encore, Nuclei [4] pourra vous permettre de vérifier si un modèle affecté présent sur votre SI est vulnérable ou non.

Je constate malheureusement qu’il y a toujours des trous dans la raquette du côté des établissements de santé français, avec cette campagne de courriels malveillants émis vendredi 13 mai depuis le serveur de messagerie d’un établissement :

Le serveur compromis était un Exchange 2019 CU9 d’après le numéro de build retrouvé dans les entêtes du message, un serveur vulnérable à ProxyShell [7] notamment, une chaîne de vulnérabilités corrigées il y a tout juste un an. Un an de retard de patching sur un serveur Exchange exposé sur Internet, ça peut faire très mal…

Le nom de cet établissement apparaît d’ailleurs dans les échanges entre les attaquants du groupe se cachant derrière le rançongiciel Conti, échanges ayant fuités début mars.

À découvrir → Pourquoi la vulnérabilité Follina affole la planète depuis une semaine ?

Vous ne serez certainement pas passé à côté, plusieurs établissements de santé ont encore été victimes récemment de rançongiciels accompagnés d’exfiltrations de données, le CH de Castellucio le 28 mars [8], ainsi que les CH de Vitry-le-François et Saint-Dizier du GHT Cœur Grand Est le 19 avril [9]. Dans cette dernière attaque, les attaquants du groupe Spy Industrial ont encore étoffé leur modèle économique en proposant la vente au détail de chaque fichier dérobé aux établissements pour la somme de 4$ le fichier.

À noter également dans les vulnérabilités corrigées à suivre de près, la CVE-2022-26925 [10] atténuant l’utilisation de PetitPotam sur les attaques de type relais NTLM envers les contrôleurs Active Directory. Lionel GILLES alias « Topotam » trouveras certainement un autre vecteur EFS que EfsRpcOpenFileRaw pour un PetitPotam « v3 ». Toujours concernant Active Directory, la CVE-2022–26923 [11] pouvant permettre sur un contrôleur de domaine disposant du rôle Active Directory Certificate Services de réaliser une élévation de privilèges au niveau administrateur de domaine. Celle-ci aussi devrait être choyée des pentesters et des attaquants, alors autant dire qu’il va bien falloir l’appliquer ce patch tuesday de mai 2022., même si certains administrateurs semblent être confrontés à des problèmes d’authentification depuis son déploiement [12].

Dans le cadre des déplacements latéraux là encore, la nouvelle collection de vulnérabilités découvertes par Armis TLStorms 2 [13] pourrait notamment permettre à un attaquant de compromettre plusieurs équipements réseau Avaya et Aruba en contournant notamment le cloisonnement logique des réseaux interne, que du bonheur !

L'auteur

Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS(Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)

[1] https://support.f5.com/csp/article/K23605346 

[2] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-004/

[3] https://twitter.com/1ZRR4H/status/1523572874061422593 

[4] https://github.com/projectdiscovery/nuclei 

[5] https://support.f5.com/csp/article/K52145254

[6] https://www.rapid7.com/blog/post/2022/05/12/cve-2022-30525-fixed-zyxel-firewall-unauthenticated-remote-command-injection/

[7] https://www.apssis.com/actualite-ssi/532/serveurs-exchange-et-proxyshell-comment-eviter-de-laisser-rentrer-n-importe-qui-dans-son-si.htm 

[8] https://twitter.com/ARSCORSE1/status/1508799466220011531 

[9] https://ght-coeurgrandest.fr/actualites/informations-cyberattaque/ 

[10] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26925 

[11] https://research.ifcr.dk/certifried-active-directory-domain-privilege-escalation-cve-2022-26923-9e098fe298f4 

[12] https://www.reddit.com/r/sysadmin/comments/um9qur/patch_tuesday_megathread_20220510/i85p2ll/?context=3 

[13] https://www.armis.com/blog/tlstorm-2-nanossl-tls-library-misuse-leads-to-vulnerabilities-in-common-switches/