Ernstige kritieke kwetsbaarheid in BIG-IP ADC van F5

Verschillende Security onderzoekers en het cybercommando van de Amerikaanse overheid hebben advies uitgebracht aan organisaties en overheden om een ernstige kritieke kwetsbaarheid in de BIG-IP application delivery controller (ADC) direct te patchen en hier niet mee te wachten. Het betreft hier een remote code execution (RCE) kwetsbaarheid.

Deze kwetsbaarheid heeft CVE-2020-5902 toegewezen gekregen en heeft een CVSS score van 10/10 gekregen, dit is de hoogst mogelijke score voor een kwetsbaarheid. Een aanvaller die gebruik maakt van de kwetsbaarheid kan op afstand de volledige controle nemen over het kwetsbare systeem om zo inzicht te krijgen in de applicatie data die het systeem beheert.

Security onderzoek Mikhail Klyuchnikov van Positive Technologies, welke de kwetsbaarheid heeft ontdekt, geeft aan dat het probleem zich bevindt in de configuratie hulpprogramma genaamd Traffic Management User Interface (TMUI) van de BIG-IP ADC.

BIG-IP ADC wordt vooral gebruikt door grote bedrijven, data centers en in Cloud-omgevingen. Dit wordt gedaan voor applicatie acceleratie, load balancing, “rate shaping”, “SSL offloading” en als web applicatie firewall.

De kwetsbaarheid

Een ongeauthentiseerde aanvaller kan op afstand misbruik maken van deze kwetsbaarheid door het versturen van een speciaal gemaakte kwaadaardige HTTP verzoek naar een kwetsbaar systeem met het configuratie hulpprogramma TMUI. Wanneer dit gelukt is kan de aanvaller de volledige controle krijgen met admin rechten op het systeem, zodat ze elke willekeurige taak die ze willen doen kunnen uitvoeren op het systeem, zonder hiervoor de juiste autorisaties te hebben.

“Een aanvaller kan bestanden aanmaken of verwijderen, services uitschakelen, informatie onderscheppen, het draaien van willekeurige systeem commando’s en java code, het systeem volledige compromitteren en zich richten op de volgende doelwitten, zoals het interne netwerk,” volgens Klyuchnikov.

“In dit geval is de RCE het resultaat van beveiligingsfouten in meerde componenten, zoals het component dat directory traversal misbruik mogelijk maakt.”

f5 big-ip application security manager

Aantal kwetsbare machines

Per juni 2020 zijn er meer dan 8.000 BIG-IP ADC systemen geïdentificeerd die direct zijn blootgesteld richting het internet, waarvan het grootste deel in de VS (40%), 16% in China, 3% in Taiwan, 2,5% in Canada en Indonesië en minder dan 1% in Rusland, geeft Positive Technologies aan.

In Juli heeft security bedrijf Bad Packets ook een scan gedaan naar in totaal 8.204 F5 BIG-IP systemen, waarvan ze hebben kunnen vinden dat 3.012 van deze systemen in 66 verschillende landen kwetsbaar zijn voor CVE-2020-5902. Voor de scan is alleen een HTTP verzoek verstuurd naar de systemen en is er geen gevoelige informatie bemachtigd. De meeste kwetsbare systemen bevinden zich in de VS (1.237) en China (496). In Nederland zijn er 7 kwetsbare systemen gedetecteerd tijdens de scan.

Klyuchnikov voegt hier ook nog wel aan toe dat de meeste bedrijven die het kwetsbare product gebruiken geen toegang vanaf het internet toestaan voor de kwetsbare configuratie interface.

Welke versies zijn kwetsbaar

De volgende versies van BIG-IP ADC zijn kwetsbaar voor de ernstige kritieke kwetsbaarheid:

  • Versie 15.0.0 – 15.1.0;
  • Versie 14.1.0 – 14.1.2;
  • Versie 13.1.0 – 13.1.3;
  • Versie 12.1.0 – 12.1.5;
  • Versie 11.6.1 – 11.6.5.

Andere kwetsbaarheid

Klyuchnikov heeft ook nog een andere kwetsbaarheid gemeld voor de BIG-IP ADC, namelijk een cross-side scripting (XSS) kwetsbaarheid, waar CVE-2020-5903 aan is toegewezen en een CVSS score van 7,5/10. Deze kwetsbaarheid zorgt ervoor dat in de configuratie interface aanvallers op afstand kwaadaardige JavaScript code kunnen draaien als de ingelogde administrator.

“Wanneer een gebruiker administrator rechten heeft en toegang tot de Advanced Shell (bash), kan succesvol misbruik van de kwetsbaarheid leiden tot het volledig compromitteren van een kwetsbaar BIG-IP systeem via een RCE,” voegt de onderzoeker toe.

Wordt de kwetsbaarheid actief misbruikt?

Er is bekend dat er sinds 4 juli actief misbruik wordt gemaakt van de kwetsbaarheid, dit heeft onderzoek Rich Warren van het securitybedrijf NCC Group via Twitter gemeld.

Volgens een voormalig medewerker van F5, Nate Warfield, welke nu bij het Microsoft Security Response Center werkt, geeft aan op 4 juli dat hij verwacht dat naar alle waarschijnlijkheid binnen 1 a 2 dagen op grote schaal misbruik gemaakt gaat worden van de kwetsbaarheid. Op moment van schrijven is het 8 juli. Nate Warfield geeft zelfs op 7 juli nu aan dat wanneer er nog geen patch is doorgevoerd, dat je ervan uit moet gaan dat het kwetsbare systeem nu vrijwel zeker is gecompromitteerd.

Updates beschikbaar?

Om niet meer kwetsbaar te zijn voor zowel CVE-2020-5902 als CVE-2020-5903, wordt er geadviseerd te updaten naar één van de volgende versies:

  • Versie 15.1.0.4;
  • Versie 14.1.2.6;
  • Versie 13.1.3.4;
  • Versie 12.1.5.2;
  • Versie 11.6.5.2.

Alle 16.x versies van het product zijn niet kwetsbaar. Ook wordt iedereen aangeraden die gebruik maakt van publieke cloud marktplaatsen zoals AWS, Azure, GCP en Alibaba om hun BIG-IP Virtual Edition (VE) te updaten naar de bovengenoemde versies, wanneer deze beschikbaar zijn.

Workaround beschikbaar?

Er wordt aangeraden om z.s.m. te updaten naar een niet kwetsbare versie, maar wanneer dit niet mogelijk is, dan zijn er wel workarounds beschikbaar.

De volgende tijdelijke workarounds kunnen worden uitgevoerd als tijdelijke oplossing:

  1. Aanpassingen aan alle TMUI interfaces, om te voorkomen dat ongeauthentiseerde aanvallers misbruik kunnen maken van de kwetsbaarheid;
  2. Het gebruiken van Self IPs, om de toegang te blokkeren naar de configuratie hulpprogramma;
  3. Management interface, toegang tot het product zal alleen over een beveiligd netwerk moeten zijn.

Voor de volledige workarounds bekijk de security advisory van F5.

Advies

Er wordt aangeraden aan iedereen die dit op dit moment nog niet heeft gedaan om de BIG-IP ADC systemen binnen uw organisatie te updaten naar een van de niet kwetsbare versies.

Wanneer het niet mogelijk is om te updaten, wordt er aangeraden om de aangeboden workarounds van F5 op te volgen als tijdelijke oplossing en wanneer het wel mogelijk is, z.s.m. te updaten naar een niet kwetsbare versie.

Wanneer op dit moment de updates nog niet zijn uitgevoerd, wordt er ook aangeraden om te controleren of de systemen op dit moment niet al gecompromitteerd zijn, aangezien volgens Nate Warfield het zeer aannemelijk is dat dit het geval is, wegens het actieve misbruik van de kwetsbaarheid.

Als laatste willen wij aanbevelen om net zoals vele andere organisaties de interfaces van de BIG-IP ADC systemen niet bloot te stellen via het internet.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

Het hebben van veel cybersecurity tools maakt een organisatie niet veiliger
SIGRed, een “wormable” kritieke kwetsbaarheid in Windows DNS-Server

Gerelateerde berichten

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

achttien − 11 =

Menu