Une faille RCE critique affecte les serveurs de sécurité d’applications F5 BIG-IP

Les chercheurs en cybersécurité ont publié aujourd’hui un avis de sécurité avertissant les entreprises et les gouvernements du monde entier de corriger immédiatement une vulnérabilité d’exécution de code à distance hautement critique affectant les périphériques réseau BIG-IP de F5 exécutant des serveurs de sécurité d’applications.

La vulnérabilité, attribuée CVE-2020-5902 et évalué comme critique avec un score CVSS de 10 sur 10, pourrait permettre à des attaquants distants de prendre le contrôle complet des systèmes ciblés, obtenant éventuellement une surveillance sur les données d’application qu’ils gèrent.

Selon Mikhail Klyuchnikov, un chercheur en sécurité chez Positive Technologies qui a découvert la faille et l’a signalée à F5 Networks, le problème réside dans un utilitaire de configuration appelé Traffic Management User Interface (TMUI) pour le contrôleur de livraison d’applications BIG-IP (ADC).

BIG-IP ADC est utilisé par les grandes entreprises, les centres de données et les environnements de cloud computing, leur permettant de mettre en œuvre l’accélération des applications, l’équilibrage de charge, la mise en forme du débit, le déchargement SSL et le pare-feu d’applications Web.

F5 BIG-IP ADC RCE Faw (CVE-2020-5902)

Un attaquant non authentifié peut exploiter à distance cette vulnérabilité en envoyant une requête HTTP construite de manière malveillante au serveur vulnérable hébergeant l’utilitaire de gestion du trafic (TMUI) pour la configuration BIG-IP.

Une exploitation réussie de cette vulnérabilité pourrait permettre aux attaquants d’obtenir un contrôle administratif total sur l’appareil, leur faisant éventuellement effectuer toutes les tâches qu’ils souhaitent sur l’appareil compromis sans aucune autorisation.

« L’attaquant peut créer ou supprimer des fichiers, désactiver des services, intercepter des informations, exécuter des commandes système arbitraires et du code Java, compromettre complètement le système et poursuivre d’autres cibles, telles que le réseau interne », Klyuchnikov a dit.

«RCE dans ce cas résulte de failles de sécurité dans plusieurs composants, comme celui qui permet l’exploitation de traversée de répertoire.

En juin 2020, plus de 8000 appareils ont été identifiés en ligne comme étant directement exposés à Internet, dont 40% résident aux États-Unis, 16% en Chine, 3% à Taïwan, 2,5% au Canada et en Indonésie et moins de 1% en Russie, selon la société de sécurité.

Cependant, Klyuchnikov dit également que la plupart des entreprises utilisant le produit concerné ne permettent pas d’accéder à l’interface de configuration vulnérable d’Internet.

F5 BIG-IP ADC XSS Faille (CVE-2020-5903)

En plus de cela, Klyuchnikov a également signalé une vulnérabilité XSS (attribuée CVE-2020-5903 avec un score CVSS de 7,5) dans l’interface de configuration BIG-IP qui pourrait permettre aux attaquants distants d’exécuter du code JavaScript malveillant en tant qu’utilisateur administrateur connecté.

« Si l’utilisateur dispose de privilèges d’administrateur et d’un accès à Advanced Shell (bash), une exploitation réussie peut conduire à un compromis complet de BIG-IP via RCE », a déclaré le chercheur.

Versions affectées et mises à jour des correctifs

Il est fortement recommandé aux entreprises et administrateurs concernés qui s’appuient sur les versions vulnérables de BIG-IP 11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x de mettre à jour leurs appareils vers les dernières versions 11.6.5.2, 12.1 .5.2, 13.1.3.4, 14.1.2.6, 15.1.0.4 dès que possible.

De plus, il est également conseillé aux utilisateurs de marchés de cloud public comme AWS (Amazon Web Services), Azure, GCP et Alibaba de passer aux versions 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1 de BIG-IP Virtual Edition (VE). 2.6, 15.0.1.4 ou 15.1.0.4, dès qu’ils sont disponibles.