Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Jobba på CERT-SE? Nu söker vi en förvaltningsledare IT inom cybersäkerhet med sista ansökningsdag 17 augusti, samt en administrativ stjärna med it-säkerhetskunskap till vår desk med sista ansökningsdag 23 augusti.

Uppdaterad | Publicerad - Sårbarhet

Kritisk sårbarhet i F5 Networks BIG-IP (uppdaterad 2020-07-27)

F5 Networks varnar om en kritisk RCE-sårbarhet som påverkar konfigurationsverktyget i företagets produkter. Sårbarheten har fått CVSS-klassning 10,0, den högsta möjliga poängen. [1]

Sårbarheten (CVE-2020-5902) påverkar gränssnittet för trafikhantering och gör det möjligt för en angripare att få åtkomst till nätverket via plattformen BIG-IP eller det tillhörande Self IP, och på så sätt kunna utföra godtyckliga kommandon, inaktivera tjänster, skapa eller radera filer, och/eller köra godtycklig kod. Sårbarheten kan leda till att hela systemet blir kompromitterat. Även BIG-IP-systemet i Appliance-läget är sårbart, men påverkar endast då kontrollplanet. [2]

Uppdatering 2020-07-06

Sårbarheten utnyttjas nu aktivt så vi rekommenderar att snarast uppdatera sårbara produkter. För att kontrollera eventuellt utnyttjande bör åtkomstloggar till TMUI-gränssnittet undersökas noggrant, framför allt förfrågningar till /tmui/login.jsp/..;/* [3, 4]

Uppdatering 2020-07-27

F5 hävdar gällande CVE-2020-5902 att med stor sannolikhet är icke uppdaterade enheter redan angripna och rekommenderar hantering med den utgångspunkten. Se vidare F5:s artikel som nyligen har uppdaterats gällande indikatorer på angrepp samt ett detekteringsverktyg [2, 5].

Påverkade produkter

Sårbarheterna berör följande produkt:

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM):

Version 15.1.0 och tidigare
Version 14.1.2 och tidigare
Version 13.1.3 och tidigare
Version 12.1.5 och tidigare
Version 11.6.5 och tidigare

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart det är möjligt.

Vidare har CISA publicerat rekommendationer för hantering vid upptäckt angrepp [6]:

  • Återskapa angripna värdar.
  • Uppdatera/tillhandahåll nya kontouppgifter.
  • Begränsa åtkomsten till administrationsgränssnittet så mycket som möjligt.
  • Implementera nätverkssegmentering.

Källor

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5902
[2] https://support.f5.com/csp/article/K52145254
[3] https://gist.github.com/ykoster/11148b1783b2205f9a4981b251e522a0
[4] https://media.cert.europa.eu/static/SecurityAdvisories/2020/CERT-EU-SA2020-031.pdf
[5] https://github.com/f5devcentral/cve-2020-5902-ioc-bigip-checker/
[6] https://us-cert.cisa.gov/ncas/alerts/aa20-206a