Posté le juillet 6, 2020 à 13:20
LES HACKERS VOLENT LES MOTS DE PASSE DES APPAREILS BIG-IP
Quelques jours après la révélation de la grande vulnérabilité du F5 BIG-IP, les hackers ont déjà commencé à l’exploiter. Les acteurs de la menace lancent actuellement des attaques contre les appareils F5 BIG-IP, selon des rapports récents.
L’attaque était de nature malveillante
L’attaque a été découverte hier par Rich Warren, un chercheur en cybersécurité du NCC Group.
Dans une récente déclaration de Warren, les attaques étaient de nature malveillante et les acteurs de la menace tentent de voler les mots de passe des administrateurs des dispositifs compromis.
Les attaques s’infiltrent en particulier dans le BIG-IP, un dispositif de réseau polyvalent appartenant aux réseaux F5.
Ces dispositifs peuvent être configurés et utilisés comme des intergiciels SSL, des minuteries, des passerelles d’accès, des pare-feu, des équilibreurs de charge, ainsi que des systèmes de mise en forme du trafic.
Les appareils BIG-IP sont utilisés pour renforcer certains des réseaux les plus sensibles et les plus importants, car ce sont les appareils de réseau les plus populaires actuellement.
Les dispositifs BIG-IP peuvent également être utilisés de différentes manières. Ils peuvent être déployés sur un réseau d’entreprise, utilisés dans des centres de données de cloud computing ou sur les réseaux de fournisseurs de services internet.
F5 a récemment révélé que presque toutes les entreprises de la liste des 50 plus grandes fortunes dépendent des systèmes BIG-IP, ce qui montre le niveau de popularité de ces appareils.
La semaine dernière, le réseau F5 a publié et diffusé des correctifs relatifs à la vulnérabilité des appareils BIG-IP. Il a également publié un avis de sécurité concernant une « exécution de code à distance », qui est vulnérable dans les appareils BIG-IP.
F5 a souligné que cette faiblesse, connue sous le nom de CVE-2020-5902, pourrait donner aux hackers la possibilité de lancer des attaques sur des commutateurs de systèmes non patchés car ils sont accessibles sur Internet.
La vulnérabilité est dangereuse
Le niveau de vulnérabilité du système a été jugé dangereux, puisqu’il a même reçu une note de sécurité de 10, le taux le plus élevé sur l’échelle de gravité CVSSv3. La note de vulnérabilité élevée montre qu’il sera très facile d’exploiter la vulnérabilité, car les acteurs de la menace sont plus poreux lorsqu’il s’agit de lancer des attaques sur le système.
Les hackers n’ont pas besoin de compétences de codage avancées ou de références valables pour exploiter la vulnérabilité.
Les tentatives d’attaques ont commencé après trois jours
En général, lorsque les hackers reçoivent des informations sur la vulnérabilité, ils essaient de trouver des moyens de l’exploiter. Une fois qu’ils ont découvert comment attaquer le système avec succès, ils lancent simplement leur exploitation pour obtenir autant d’informations que possible.
Les experts en cybersécurité ont essayé d’avertir l’entreprise de corriger la vulnérabilité à temps avant qu’elle ne soit connue des hackers. Selon les experts, si les acteurs de la menace réussissent une attaque quelconque, cela leur permettrait d’avoir un accès complet aux réseaux informatiques les plus importants du monde.
Le Cyber Command américain a lancé le même avertissement et a demandé aux administrateurs du système BIG-IP de corriger les dispositifs BIG-IP. Cet avertissement a été émis dans la nuit de vendredi à dimanche. Trois jours plus tard, les hackers ont reçu des informations sur la vulnérabilité et ont décidé de sauter sur l’occasion.
Warren a déclaré que les attaques ont commencé quelques heures après le tweet d’avertissement de l’United States Cyber Command.
Il a révélé qu’il avait découvert des attaques malveillantes provenant de cinq adresses IP différentes. Il a également souligné que les attaques étaient malveillantes après avoir confirmé leur source.
« La vulnérabilité vous permet de faire appel à des fichiers .JSP en utilisant une séquence de traversée », a déclaré M. Warren.
Il a en outre révélé que l’attaquant lit les différents fichiers à partir des honeypots et exécute les commandes via la JSP intégrée. En conséquence, les hackers pourraient facilement se débarrasser des mots de passe administrateur cryptés, a déclaré M. Warren.
La grande faiblesse de BIG-IP est le type de faille de sécurité que les groupes de hackers utilisant des rançongiciels et les groupes de hackers d’Etats-nations attaquent depuis l’année dernière. Cependant, c’est la première fois que les hackers s’infiltrent dans les dispositifs BIG-IP.
Depuis le mois d’août de l’année dernière, les hackers exploitent les vulnérabilités connues des RCE dans les passerelles de réseau Citrix et les VPN sécurisés. L’objectif est d’installer des portes dérobées et de revenir dans un avenir proche pour installer des logiciels de rançon et voler des informations et des données sensibles.
