شناسایی Exploit آسیب پذیری بحرانی F5-BIG IP توسط رول تشخیص SIGMA
محصولات F5 ،یکی از بزرگ ترین ارایه دهندگان محصولات شبکه و سرویس های امنیت در دنیا هستند که در این هفته های قبل یک اطلاعیه ی امنیتی منتشر کردند و به سازمان ها در سراسر دنیا هشدار داده اند که یک اسیب پذیری بحرانی را که احتمال سوءاستفاده (exploit) از ان بسیار زیاد است را اصلاح کنند .
این اسیب پذیری با امتیاز CVSS 10 از 10 ، یک اسیب پذیری بحرانی می که با عنوان CVE-2020-5902 شناسایی می شود و تجهیزات F5 BIG-IP که سرویس های امنیتی را اجرا میکنند تحت تاثیر قرار می دهد. این تجهیزات شبکه سازی چند منظور که شرکت ها و دولت های بزرگ به صورت گسترده از ان ها استفاده می کنند عملکردهای متفاوتی دارند از جمله:
- application acceleration
- load balancing
- rate shaping
- SSL offloading
- web application firewall
به گفته ی Mikhail Klyuchnikov، یک محقق امنیتی در زمینه ی Positive Technology که آسیب را شناسایی و گزارش کرده است می گوید رخنه در یکی از قسمت های پیکربندی به نام واسط کاربر مدیریت ترافیک (TMUI) است که متعلق به کنترل کننده تحویل برنامه کاربردی BIG-IP می باشد. لذا مهاجمان می توانند اسیب پذیری بحرانی ‘remote code execution’ را برای دسترسی به مولفه ی TMUI اکسپلویت کنند که این در بالای سرور Tomcat در سیستم عامل مبتنی بر لینوکس BIG-IP اجرا می شوند.
این exploit می تواند به مهاجمان اجازه دهد فایل ها را بسازند یا حذف کنند، سرویس ها را غیرفعال کنند ،اطلاعات را رهگیری کنند ،دستورات (command) و کد جاوای دلخواه را اجرا کنند، سیستم را به طور کلی الوده کنند، و اهداف بیشتر از قبیل شبکه ی داخلی و نهایتا دسترسی به کنترل کامل تجهیز BIG-IP را دنبال کنند.
تشخیص اکسپلوت F5 BIG-IP
با این قانون تشخیص تهدید sigma ،شما می توانید اقدام به exploit آسیب پذیری بحرانی CVE-2020-5902 را تشخیص دهید.
برای به کار بردن این قانون تشخیص، شما می توانید آن را به زبان SIEM خود تبدیل کنید. همچنین پیشنهاد می شود که BIG-IP خود را به اخرین نسخه به روز رسانی کنید.
title: CVE-2020-5902 F5 BIG-IP Exploitation Attempt id: 44b53b1c-e60f-4a7b-948e-3435a7918478 status: experimental description: Detects the exploitation attempt of the vulnerability found in F5 BIG-IP and described in CVE-2020-5902 references: – https://support.f5.com/csp/article/K52145254 – https://twitter.com/yorickkoster/status/1279709009151434754 – https://www.criticalstart.com/f5-big-ip-remote-code-execution-exploit/ author: Francesco Marcini date: 2020/07/05 modified: 2020/07/07 logsource: category: webserver detection: selection_base: c-uri|contains: – ‘/tmui/’ – ‘/hsqldb’ selection_traversal: c-uri|contains: – ‘..;/’ – ‘.jsp/..’ condition: selection_base and selection_traversal fields: – c-ip – c-dns falsepositives: – Unknown tags: – attack.initial_access – attack.t1190 level: critica