ALERTE : Vulnérabilité dans F5 BIG-IP (BIGIP) (05.06.20)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Vulnérabilité dans F5 BIG-IP (BIGIP) (05.06.20)

Messagede pierre » 06 Juil 2020, 12:56

ALERTE : Vulnérabilité dans F5 BIG-IP (BIGIP)

Risque(s)

Exécution de code arbitraire à distance

Systèmes affectés

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) versions 15.x antérieures à 15.1.0.4
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) versions 14.1.x antérieures à 14.1.2.6
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) versions 13.1.x antérieures à 13.1.3.4
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) versions 12.1.x antérieures à 12.1.5.2
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) versions 11.5.x et 11.6.x antérieures à 11.6.5.2

Résumé

Le 1er juillet 2020, F5 Networks a publié un avis de sécurité [1] concernant la vulnérabilité CVE-2020-5902. Cette vulnérabilité permet à un attaquant non authentifié (ou un utilisateur authentifié) ayant un accès réseau à l'interface d'administration tmui, d'exécuter un code arbitraire à distance. Cette vulnérabilité a un score CVSS de 10. Cette interface est accessible depuis le port d'administration ainsi que via les adresses IP "Self IP" éventuellement configurées sur l'équipement BIG-IP.

Note importante : Des campagnes de détection sont rapportées publiquement et des preuves de concept ont été publiées depuis le 04 juillet. Ces preuves de concept permettent notamment d'accéder à des fichiers de configuration.

Le CERT-FR considère qu'il est impératif d'appliquer sans délai les règles de configuration afin d'interdire l'accès à l'interface d'administration depuis un réseau non sécurisé ainsi que d'appliquer les correctifs publiés par l'éditeur.
Contournement provisoire

Dans la mesure où les solutions peuvent nécessiter des modifications importantes, l'éditeur préconise un contournement permettant de se prémunir contre un accès non autorisé par un attaquant non authentifié. L'éditeur indique que ce contournement ne devrait pas avoir de conséquence sur le fonctionnement de l'équipement. Il s'agit d'éditer les propriétés du serveur web et ajouter une nouvelle règle dans la section 'include' afin d'interdire des requêtes HTTP utilisant une syntaxe particulière pour l'URL. Ces recommandations sont indiquées dans l'avis de l'éditeur : https://support.f5.com/csp/article/K52145254#all

L'éditeur précise que ce contournement n'empêche pas un utilisateur authentifié d'exploiter la vulnérabilité.


Solution

Il est impératif d'appliquer les correctifs de sécurité publiés par l'éditeur. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs [1] (cf. section Documentation).

En cas de suspicion d'accès non autorisé à l'interface d'administration tmui, si cette interface était accessible depuis un réseau non sûr, le CERT-FR recommande fortement de :

renouveler les mots de passe des comptes techniques et des comptes utilisateurs déclarés sur les équipements BIG-IP ;
révoquer et renouveler les certificats x509 déclarés sur les équipements BIG-IP ainsi que sur les éventuels autres équipements utilisant ces mêmes certificats x509 s'il s'agit de certificats multi-domaines (wildcard).

Le CERT-FR rappelle également que l'éditeur a publié des bonnes pratiques afin de sécuriser l'administration de ses équipements [2]. Il convient notamment de :

connecter le port d'administration sur un réseau d'administration sécurisé ;
interdire l'accès à l'interface d'administration tmui via les adresses IP "Self IP" ;

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.
Documentation

[1] Bulletin de sécurité F5 K52145254 du 01 juillet 2020
https://support.f5.com/csp/article/K52145254
[2] Bulletin F5 Networks pour la sécurisation de l'administration des équipements BIG-IP
https://support.f5.com/csp/article/K13092
Avis CERT-FR CERTFR-2020-AVI-399 du 01 juillet 2020
https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-399/
Référence CVE CVE-2020-5902
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-5902



Historique des alertes et avis sur le produit F5 BIG-IP (BIGIP)
Historique des alertes et avis sur les produits BIG-IP (BIGIP)
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26646
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: ALERTE : Vulnérabilité dans F5 BIG-IP (BIGIP) (05.06.20)

Messagede pierre » 30 Juil 2020, 09:26

Mise à jour de l'alerte :


Risque(s)
Exécution de code arbitraire à distance

Systèmes affectés
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) versions 15.x antérieures à 15.1.0.4
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) versions 14.1.x antérieures à 14.1.2.6
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) versions 13.1.x antérieures à 13.1.3.4
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) versions 12.1.x antérieures à 12.1.5.2
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) versions 11.5.x et 11.6.x antérieures à 11.6.5.2

Résumé
Le 1er juillet 2020, F5 Networks a publié un avis de sécurité [1] concernant la vulnérabilité CVE-2020-5902. Cette vulnérabilité permet à un attaquant non authentifié (ou un utilisateur authentifié) ayant un accès réseau à l'interface d'administration tmui, d'exécuter un code arbitraire à distance. Cette vulnérabilité a un score CVSS de 10. Cette interface est accessible depuis le port d'administration ainsi que via les adresses IP "Self IP" éventuellement configurées sur l'équipement BIG-IP.

Note importante : Des campagnes de détection sont rapportées publiquement et des preuves de concept ont été publiées depuis le 04 juillet. Ces preuves de concept permettent notamment d'accéder à des fichiers de configuration.

Le CERT-FR considère qu'il est impératif d'appliquer sans délai les règles de configuration afin d'interdire l'accès à l'interface d'administration depuis un réseau non sécurisé ainsi que d'appliquer les correctifs publiés par l'éditeur.
Contournement provisoire

[Mise à jour du 08 juillet 2020]
Le 07 juillet 2020, F5 a mis à jour son avis de sécurité. La mesure de contournement initialement préconisée s'avère incomplète. Le CERT-FR recommande l'application du correctif. Dans les cas où ce n'est pas possible, il est impératif de mettre à jour les propriétés httpd avec les changements indiqués dans l'avis F5 (cf. section Documentation).

[Publication initiale]
Dans la mesure où les solutions peuvent nécessiter des modifications importantes, l'éditeur préconise un contournement permettant de se prémunir contre un accès non autorisé par un attaquant non authentifié. L'éditeur indique que ce contournement ne devrait pas avoir de conséquence sur le fonctionnement de l'équipement. Il s'agit d'éditer les propriétés du serveur web et ajouter une nouvelle règle dans la section 'include' afin d'interdire des requêtes HTTP utilisant une syntaxe particulière pour l'URL. Ces recommandations sont indiquées dans l'avis de l'éditeur : https://support.f5.com/csp/article/K52145254#all

L'éditeur précise que ce contournement n'empêche pas un utilisateur authentifié d'exploiter la vulnérabilité.

Solution
[Mise à jour du 28 juillet 2020]

Le 22 juillet 2020, F5 a publié un outil qui tente de détecter des traces de compromission : https://github.com/f5devcentral/cve-202 ... p-checker/.

Le 27 juillet 2020, l'US-CERT a publié une alerte contenant une règle de détection au format Snort : https://us-cert.cisa.gov/ncas/alerts/aa20-206a.

[Publication initiale]
Il est impératif d'appliquer les correctifs de sécurité publiés par l'éditeur. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs [1] (cf. section Documentation).

En cas de suspicion d'accès non autorisé à l'interface d'administration tmui, si cette interface était accessible depuis un réseau non sûr, le CERT-FR recommande fortement de :

  1. renouveler les mots de passe des comptes techniques et des comptes utilisateurs déclarés sur les équipements BIG-IP ;
  2. révoquer et renouveler les certificats x509 déclarés sur les équipements BIG-IP ainsi que sur les éventuels autres équipements utilisant ces mêmes certificats x509 s'il s'agit de certificats multi-domaines (wildcard).

Le CERT-FR rappelle également que l'éditeur a publié des bonnes pratiques afin de sécuriser l'administration de ses équipements [2]. Il convient notamment de :

  1. connecter le port d'administration sur un réseau d'administration sécurisé ;
  2. interdire l'accès à l'interface d'administration tmui via les adresses IP "Self IP" ;

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

Documentation
[1] Bulletin de sécurité F5 K52145254 du 01 juillet 2020
https://support.f5.com/csp/article/K52145254

[2] Bulletin F5 Networks pour la sécurisation de l'administration des équipements BIG-IP
https://support.f5.com/csp/article/K13092

Avis CERT-FR CERTFR-2020-AVI-399 du 01 juillet 2020
https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-399/

Outil de détection F5
https://github.com/f5devcentral/cve-202 ... p-checker/

Alerte US-CERT AA20-206A
https://us-cert.cisa.gov/ncas/alerts/aa20-206a

Référence CVE CVE-2020-5902
http://cve.mitre.org/cgi-bin/cvename.cg ... -2020-5902



Historique des alertes et avis sur le produit F5 BIG-IP (BIGIP)
Historique des alertes et avis sur les produits BIG-IP (BIGIP)
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26646
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 15 invités