Alerte - Exploitation active d'une vulnérabilté touchant F5 BIG-IP

Numéro : AL20-018, Mise à jour 1
Date : 5 juillet 2020
Mis à jour : 9 juillet 2020

AUDITOIRE

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés. Les destinataires de la présente information peuvent redistribuer celle-ci au sein de leurs organismes respectifs.

OBJET

Une alerte a pour objet de prévenir les destinataires relativement à des cybermenaces qui ont été relevées récemment et qui pourraient peser sur les fonds d’information électronique. Elle vise également à leur fournir un complément d’information en matière de détection et d’atténuation. Sur demande, le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) offre également aux destinataires une assistance additionnelle concernant la teneur de la présente alerte.

VUE D’ENSEMBLE

Le Centre pour la cybersécurité a été informé qu’on avait signalé des tentatives d’exploitation de l’interface utilisateur de gestion du trafic (TMUI pour Trafic Management User Interface), également connue sous le nom de Configuration Utility pour les produits BIG-IP de F5. Une exploitation fructueuse pourrait donner lieu à l’exécution de code à distance.

MISE À JOUR : Le Centre pour la cybersécurité a pris connaissance de tentatives d’exploitation de l’interface utilisateur de gestion du trafic (TMUI pour Traffic Management User Interface) que l’on retrouve dans les produits BIG-IP de F5 au Canada. Une exploitation fructueuse pourrait donner lieu à la divulgation d’information ou à l’exécution de code à distance, et ainsi occasionner la compromission de l’ensemble du système.

DÉTAILS

Le 30 juin 2020, F5 a publié plusieurs bulletins de sécurité pour faire état de vulnérabilités liées aux produits BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM). L’une des vulnérabilités publiées (CVE-2020-5902) concerne la TMUI. Une exploitation fructueuse de cette vulnérabilité pourrait donner lieu à l’exécution de commandes système arbitraires, à la création ou à la suppression de fichiers, à la désactivation de services ou à l’exécution de code Java arbitraire.

Le 4 juillet 2020, une équipe de recherche de source ouverte a signalé l’exploitation active de la vulnérabilité CVE-2020-5902, ce qui pourrait, advenant une exploitation fructueuse, donner lieu à la compromission de l’ensemble du système.

MISE À JOUR : Le 8 juillet 2020, F5 a mis à jour ses conseils d’atténuation pour la vulnérabilité CVE‑2020‑5902 qu’il avait initialement publiés le 30 juin 2020. Il convient entre autres de noter les mises à jour importantes suivantes :

• des modifications ont été apportées aux conseils d’atténuation initiaux en réaction à un contournement de ces conseils;
• des mesures d’atténuation ont été ajoutées en réaction à une nouvelle voie d’exploitation.

MESURES RECOMMANDÉES

F5 a publié des mises à jour logicielles visant la vulnérabilité CVE-2020-5902, ainsi que des recommandations sur les mesures d’atténuation à prendre s’il n’est pas possible d’appliquer immédiatement les correctifs aux dispositifs touchés. F5 souligne que les auteurs authentifiés qui accèdent à la TMUI seront en mesure d’exploiter la vulnérabilité tant que les correctifs n’auront pas été appliqués aux produits :

• toutes les interfaces réseau;
• adresses Self IP;
• interface de gestion.

Le Centre pour la cybersécurité recommande également d’effectuer ce qui suit :

• appliquer sans tarder les correctifs et les mises à jour aux logiciels;
• segmenter efficacement les réseaux et mettre en place des zones démilitarisées (DMZ pour Demilitarized Zone) protégées par des pare-feux adéquatement configurés pour contrôler et surveiller sélectivement le trafic qui transite entre les zones;
• minimiser l’exposition au réseau pour tous les systèmes et s’assurer qu’ils ne peuvent pas se connecter directement à Internet;
• veiller à ce que les serveurs des produits et les consoles de gestion ne puissent être accessibles qu’aux réseaux et aux utilisateurs autorisés, selon le cas;
• MISE À JOUR : assurer une surveillance continue afin de détecter toute connexion d’utilisateurs authentifiés à des dispositifs potentiellement touchés à partir d’adresses IP inconnues.

RÉFÉRENCES

K52145254: TMUI RCE vulnerability CVE-2020-5902
https://support.f5.com/csp/article/K52145254 (en anglais seulement)

MISE À JOUR : K11438344: Considerations and guidance when you suspect a security compromise on a BIG-IP system
https://support.f5.com/csp/article/K11438344 (en anglais seulement)

MISE À JOUR : Proofpoint a publié deux signatures de système de détection d’intrusion (IDS) Suricata pour aider à cerner les tentatives d’exploitation à l’aide de l’une ou l’autre des méthodes d’exploitation :

https://rules.emergingthreats.net/open/suricata-5.0/emerging-all.rules

• 2030469 ET EXPLOIT F5 TMUI RCE vulnerability CVE-2020-5902 Attempt M1;
• 2030483 ET EXPLOIT F5 TMUI RCE vulnerability CVE-2020-5902 Attempt M2.

 NOTE AUX LECTEURS
 Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert et coordonne les communications d’information et l’intervention en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et resilient.