شناسایی Exploit آسیب پذیری بحرانی F5-BIG IP توسط رول تشخیص SIGMA

0 55

محصولات F5 ،یکی از بزرگ ترین ارایه دهندگان محصولات  شبکه  و سرویس های امنیت در دنیا هستند که در این هفته های قبل یک اطلاعیه ی امنیتی منتشر کردند و به سازمان ها در سراسر دنیا هشدار داده اند که یک اسیب پذیری بحرانی را که احتمال سوءاستفاده (exploit) از ان بسیار زیاد است را اصلاح کنند .

این اسیب پذیری با امتیاز CVSS 10 از 10 ، یک اسیب پذیری بحرانی می که با عنوان CVE-2020-5902 شناسایی می شود و تجهیزات F5 BIG-IP که سرویس های امنیتی را اجرا میکنند تحت تاثیر قرار می دهد. این تجهیزات شبکه سازی چند منظور که شرکت ها و دولت های بزرگ به صورت گسترده از ان ها استفاده می کنند عملکردهای متفاوتی دارند  از جمله:

  • application acceleration
  • load balancing
  • rate shaping
  • SSL offloading
  •  web application firewall

به گفته ی Mikhail Klyuchnikov، یک محقق امنیتی در زمینه ی Positive Technology که آسیب را شناسایی و گزارش کرده است می گوید رخنه در یکی از قسمت های پیکربندی به نام واسط کاربر مدیریت ترافیک (TMUI) است که متعلق به کنترل کننده تحویل برنامه کاربردی BIG-IP می باشد. لذا مهاجمان می توانند اسیب پذیری بحرانی ‘remote code execution’ را برای دسترسی به مولفه ی TMUI اکسپلویت کنند که این در بالای سرور Tomcat در سیستم عامل مبتنی بر لینوکس BIG-IP اجرا می شوند.

این  exploit می تواند به مهاجمان اجازه دهد فایل ها را بسازند یا حذف کنند، سرویس ها را غیرفعال کنند ،اطلاعات را رهگیری کنند ،دستورات (command) و کد جاوای دلخواه را اجرا کنند، سیستم را به طور کلی الوده کنند، و اهداف بیشتر از قبیل شبکه ی داخلی و نهایتا دسترسی به کنترل کامل تجهیز BIG-IP را دنبال کنند.

تشخیص اکسپلوت F5 BIG-IP

با این قانون تشخیص تهدید sigma ،شما می توانید اقدام به exploit آسیب پذیری بحرانی CVE-2020-5902 را تشخیص دهید.

برای به کار بردن این قانون تشخیص، شما می توانید آن را به زبان  SIEM خود تبدیل کنید. همچنین پیشنهاد می شود که BIG-IP خود را به اخرین نسخه به روز رسانی کنید.

 

title: CVE-2020-5902 F5 BIG-IP Exploitation Attempt

id: 44b53b1c-e60f-4a7b-948e-3435a7918478 status: experimental

description: Detects the exploitation attempt of the vulnerability found in F5 BIG-IP and described in CVE-2020-5902

references:

– https://support.f5.com/csp/article/K52145254

– https://twitter.com/yorickkoster/status/1279709009151434754

– https://www.criticalstart.com/f5-big-ip-remote-code-execution-exploit/

author: Francesco Marcini date: 2020/07/05 modified: 2020/07/07

logsource:

category: webserver

detection:

selection_base:

c-uri|contains:

– ‘/tmui/’

– ‘/hsqldb’

selection_traversal:

c-uri|contains:

– ‘..;/’ – ‘.jsp/..’

condition:

selection_base and selection_traversal

fields: – c-ip – c-dns falsepositives:

– Unknown tags:

– attack.initial_access

– attack.t1190

level: critica
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.