F5-kwetsbaarheid geeft toegang tot admin-wachtwoorden

F5 Networks, een van ‘s werelds grootste leveranciers van netwerkapparatuur voor grote berdijven, heeft een veiligheidsadvies uitgebracht. Hierin waarschuwt het bedrijf zijn klanten om een belangrijke beveiligingsfout te patchen die hoogstwaarschijnlijk misbruikt gaat worden. 

De kwetsbaarheid heeft impact op het BIG-IP line-up van F5. Deze multifunctionele netwerkapparaten kunnen werken als web traffic shaping systems, load balancers, firewalls, toegangspoorten, rate limiters of SSL middleware. 

Vanwege de aard van de bedrijven die BIG-IP gebruiken, kan een dergelijke kwetsbaarheid een enorme impact hebben. BIG-IP wordt onder andere gebruikt door overheden over de hele wereld, op het netwerk van aanbieders van internetdiensten, in cloud computing datacenters en veel bedrijfsnetwerken. Volgens F5 worden de BIG-IP apparaten gebruikt door 48 bedrijven in de Fortune 50 lijst.

CVE-2020-5902

De fout in BIG-IP wordt ook CVE-2020-5902 genoemd. Het gaat om een zogenaamde ‘remote code execution’-kwetsbaarheid in de beheerinterface van BIG-IP. Aanvallers kunnen via het internet misbruik maken van de fout en zo toegang krijgen tot het TMUI-component. 

Hackers hebben geen geldige toegangsgegevens nodig om apparaten aan te vallen. Een succesvolle inbraak geeft indringers de mogelijkheid om willekeurige commando’s in te voeren in het systeem, bestanden aan te maken of verwijderen, diensten uit te schakelen en willekeurige Javacode uitvoeren. Hierdoor kunnen aanvallers uiteindelijk volledige controle over het BIG-IP-apparaat krijgen. 

De kwetsbaarheid heeft de maximale score gekregen in de CVSSv3 vulnerability severity scale, iets wat zelden voorkomt. Deze hoge score houdt in dat de fout gemakkelijk is om misbruik van te maken, geautomatiseerd kan worden, geen geldige toegangsgegevens of gevorderde codeerskills nodig heeft en kan worden gebruikt via het internet. 

Advies: installeer de patch zo snel mogelijk

Voormalig F5 Networks engineer Nate Warfield benadrukte deze week via een Tweet dat de urgentie om deze bug te patchen niet onderschat mag worden. De cybersecuritycommunity verwacht dat de bug actief zal worden aangevallen zodra hackers uitvinden hoe ze misbruik kunnen maken van de kwetsbaarheid. Succesvolle aanvallen kunnen kwaadwillenden volledige toegang geven tot ‘s werelds meest belangrijke IT-netwerken.

De aanvallen begonnen kort nadat de kwetsbaarheid bekend werd en F5 de patch uitbracht. Volgens Rich Warren, wie momenteel BIG-IP honeypots opereert, zijn er kwaadaardige aanvallen gedetecteerd afkomstig van vijf verschillende IP-adressen. Tot zover is bekend dat een aanvaller verschillende bestanden van de honeypots ziet en commando’s uitvoert via een ingebouwd .JSP-bestand. Hiermee waren zij in staat om versleutelde admin wachtwoorden en settings te plaatsen.