Les pirates ont commencé à lancer des attaques contre les appareils réseau F5 BIG-IP, a appris ZDNet. Les attaques ont été repérées au début du mois par Rich Warren, un chercheur en sécurité pour le groupe NCC.
Dans une interview, Warren a déclaré à ZDNet que les attaques sont de nature malveillante, et que les pirates informatiques tentent de voler les mots de passe administrateurs des appareils piratés.
BIG-IP et CVE-2020-5902
Ces attaques visent BIG-IP, un répartiteur de charge polyvalent fabriqué par F5 Networks. Les dispositifs BIG-IP peuvent être configurés pour fonctionner comme des systèmes de mise en forme du trafic, des répartiteurs de charge, des pare-feu, des passerelles d’accès, des limiteurs de débit ou des intergiciels SSL.
Ces appareils font partie des produits réseau les plus populaires aujourd’hui, et servent de base à certains des réseaux les plus vastes et les plus sensibles.
Les dispositifs BIG-IP sont utilisés dans les réseaux gouvernementaux, sur les réseaux des fournisseurs de services Internet, dans les centres de données de l’informatique en nuage, et ils sont largement déployés dans les réseaux d’entreprises.
Ces appareils sont si puissants et si populaires que sur son site web, F5 affirme que 48 des 50 entreprises figurant sur la liste Fortune 50 utilisent des systèmes BIG-IP.
Vendredi 3 juillet, F5 Networks a publié des correctifs et un avis de sécurité (https://www.zdnet.com/article/f5-patches-vulnerability-that-received-a-cvss-10-severity-score/) concernant une vulnérabilité d' »exécution de code à distance » dans les appareils BIG-IP.
F5 a déclaré que la vulnérabilité, identifiée sous le nom de CVE-2020-5902, pourrait permettre aux attaquants de prendre le contrôle total des systèmes non patchés qui sont accessibles sur Internet.
La vulnérabilité a été jugée si dangereuse qu’elle a reçu une note de gravité de 10, le maximum sur l’échelle de gravité CVSSv3. Ce score signifie que la vulnérabilité est facile à exploiter, à automatiser, qu’elle peut être utilisée sur Internet et qu’il n’est pas nécessaire d’avoir des références valides ou des compétences de codage avancées pour en tirer parti.
Les tentatives d’exploitation ont commencé trois jours aprés
La communauté de la cybersécurité s’attendait à ce que ce bug fasse l’objet d’attaques actives dès que les pirates informatiques auraient trouvé le moyen de l’exploiter.
Les experts en cybersécurité tirent la sonnette d’alarme et incitent les administrateurs à appliquer les correctifs.
Leurs efforts pour attirer l’attention sur cette question ont été aidés par le Cyber Command américain qui, dans la nuit de vendredi à dimanche, quelques heures avant le 4 juillet, a demandé aux administrateurs système de prendre le temps de patcher les dispositifs BIG-IP, craignant également la même chose.
Le CERT-FR a également publié un bulletin d’alerte le 5 juillet, invitant les administrateurs à corriger la faille de sécurité et à faire preuve de vigilance à l’égard de cette vulnérabilité.
Selon Warren, les attaques ont commencé quelques heures seulement après le tweet du Cyber Command américain. Warren, qui exploite actuellement des honeypots BIG-IP — des serveurs conçus pour ressembler à des dispositifs BIG-IP — a déclaré qu’il a détecté des attaques malveillantes provenant de cinq adresses IP différentes.
Dans les données partagées avec ZDNet, Warren a indiqué la source de ces attaques et a confirmé qu’elles étaient malveillantes.
Pulse Secure, Citrix, et maintenant… BIG-IP
La vulnérabilité BIG-IP est le type de faille de sécurité que les groupes de piratage liés à des gouvernements et les groupes de ransomware exploitent depuis près d’un an.
Depuis le mois d’août, des groupes de pirates exploitent des bugs RCE similaires dans les VPN Pulse Secure et les passerelles réseau Citrix pour s’introduire dans les réseaux d’entreprise, puis implanter des portes dérobées, voler des fichiers sensibles ou installer des rançongiciel.
Les bugs Pulse Secure et Citrix ont été particulièrement exploité par les groupes de rançongiciel. Dans de nombreux cas, ils n’ont même pas exploité les bugs immédiatement. Ils ont installé des portes dérobées, puis sont revenus des jours, des semaines ou des mois plus tard pour monétiser leur accès.
Les groupes de rançongiciel comme REvil, Maze ou Netwalker sont connus pour exploiter ce type de bugs afin d’attaquer certaines des plus grandes entreprises du monde, et les experts en sécurité disent que la vulnérabilité BIG-IP est exactement le type de bug qui alimentera leur prochaine vague d’attaques.
Source : « ZDNet.com »
