Getty Images
Des chercheurs ont signalé mercredi des vulnérabilités critiques dans un appareil réseau largement utilisé, qui laisse certains des plus grands réseaux du monde ouverts aux intrusions.
Les vulnérabilités résident dans BIG-IP Next Central Manager, un composant de la dernière génération de la gamme d’appliances BIG-IP que les organisations utilisent pour gérer le trafic entrant et sortant de leurs réseaux. F5, basée à Seattle, qui vend le produit, affirme que son équipement est utilisé dans 48 des 50 plus grandes entreprises suivies par Fortune. F5 décrit Next Central Manager comme un « point de contrôle unique et centralisé » pour gérer des flottes entières d’appliances BIG-IP.
En tant qu’appareils effectuant l’équilibrage de charge, l’atténuation des attaques DDoS, ainsi que l’inspection et le cryptage des données entrant et sortant de grands réseaux, les équipements BIG-IP se trouvent à leur périmètre et agissent comme un pipeline majeur vers certaines des ressources les plus critiques en matière de sécurité qui y sont hébergées. Ces caractéristiques ont rendu les appareils BIG-IP idéaux pour le piratage. En 2021 et 2022, des pirates ont activement compromis les appliances BIG-IP en exploitant des vulnérabilités présentant un indice de gravité de 9,8 sur 10.
Mercredi, des chercheurs de la société de sécurité Eclypsium ont rapporté avoir découvert cinq vulnérabilités dans la dernière version de BIG-IP. F5 a confirmé deux des vulnérabilités et publié des mises à jour de sécurité qui les corrigent. Eclypsium a déclaré que trois vulnérabilités restantes n’ont pas été reconnues et qu’il n’est pas clair si leurs correctifs sont inclus dans la dernière version. Alors que les vulnérabilités exploitées de 2021 et 2022 affectaient les anciennes versions de BIG-IP, les nouvelles résident dans la dernière version, connue sous le nom de BIG-IP Next. La gravité des deux vulnérabilités est évaluée à 7,5.
« BIG-IP Next marque une toute nouvelle incarnation de la gamme de produits BIG-IP vantant une sécurité, une gestion et des performances améliorées », ont écrit les chercheurs d’Eclypsium. « Et c’est pourquoi ces nouvelles vulnérabilités sont particulièrement importantes : elles n’affectent pas seulement le dernier produit phare du code F5, elles affectent également le gestionnaire central au cœur du système. »
Les vulnérabilités permettent aux attaquants d’obtenir le contrôle administratif total d’un appareil, puis de créer des comptes sur les systèmes gérés par Central Manager. « Ces comptes contrôlés par les attaquants ne seraient pas visibles depuis le Next Central Manager lui-même, ce qui permettrait une persistance malveillante continue au sein de l’environnement », a déclaré Eclypsium. Les chercheurs ont déclaré qu’ils n’avaient aucune indication que les vulnérabilités soient activement exploitées.
Les deux vulnérabilités corrigées peuvent être exploitées pour extraire des hachages de mots de passe ou d’autres données sensibles permettant de compromettre les comptes administratifs sur les systèmes BIG-IP. F5 a décrit l’un d’entre eux, suivi comme CVE-2024-21793, comme une faille d’injection Odata, une classe de vulnérabilité qui permet aux attaquants d’injecter des données malveillantes dans les requêtes Odata. L’autre vulnérabilité, CVE-2024-26026, est une faille d’injection SQL capable d’exécuter des instructions SQL malveillantes.
Eclypsium a déclaré avoir signalé trois vulnérabilités supplémentaires. L’une est une interface de programmation non documentée qui permet la falsification de requêtes côté serveur, une classe d’attaque qui donne accès à des ressources internes sensibles censées être interdites aux étrangers. Une autre possibilité est la possibilité pour les administrateurs non authentifiés de réinitialiser leur mot de passe même sans savoir de quoi il s’agit. Les attaquants ayant pris le contrôle d’un compte administratif pourraient exploiter cette dernière faille pour verrouiller tout accès légitime à un appareil vulnérable.
Le troisième est une configuration de l’algorithme de hachage de mot de passe bcrypt qui permet d’effectuer des attaques par force brute contre des millions de mots de passe par seconde. L’Open Web Application Security Project indique que le « facteur de travail » bcrypt, c’est-à-dire la quantité de ressources nécessaires pour convertir le texte brut en hachages cryptographiques, doit être défini à un niveau non inférieur à 10. Lorsqu’Eclypsium a effectué son analyse, le gestionnaire central l’a défini. à six heures.
Les chercheurs d’Eclypsium ont écrit :
Les vulnérabilités que nous avons trouvées permettraient à un adversaire d’exploiter la puissance de Next Central Manager à des fins malveillantes. Premièrement, la console de gestion du Central Manager peut être exploitée à distance par tout attaquant capable d’accéder à l’interface utilisateur d’administration via CVE 2024-21793 ou CVE 2024-26026. Cela se traduirait par un contrôle administratif total du gestionnaire lui-même. Les attaquants peuvent alors profiter des autres vulnérabilités pour créer de nouveaux comptes sur n’importe quel actif BIG-IP Next géré par le Central Manager. Notamment, ces nouveaux comptes malveillants ne seraient pas visibles depuis le Central Manager lui-même.
Les 5 vulnérabilités ont été divulguées à F5 en un seul lot, mais F5 n’a formellement attribué des CVE qu’aux 2 vulnérabilités non authentifiées. Nous n’avons pas confirmé si les 3 autres étaient corrigés au moment de la publication.
Les représentants de F5 n’ont pas immédiatement répondu au rapport. Eclypsium a poursuivi en disant :
Ces faiblesses peuvent être utilisées dans diverses voies d’attaque potentielles. À un niveau élevé, les attaquants peuvent exploiter l’interface utilisateur à distance pour obtenir le contrôle administratif du gestionnaire central. Modifiez les mots de passe des comptes sur Central Manager. Mais plus important encore, les attaquants pourraient créer des comptes cachés sur n’importe quel appareil en aval contrôlé par le Central Manager.
Élypsium
Les vulnérabilités sont présentes dans les versions 20.0.1 à 20.1.0 de BIG-IP Next Central Manager. La version 20.2.0, publiée mercredi, corrige les deux vulnérabilités reconnues. Comme indiqué précédemment, on ne sait pas si la version 20.2.0 corrige l’autre comportement décrit par Eclypsium.
« S’ils sont corrigés, c’est +- ok, étant donné que la version avec eux sera toujours considérée comme vulnérable à d’autres choses et nécessitera une correction », a écrit le chercheur d’Eclypsium, Vlad Babkin, dans un e-mail. « Sinon, l’appareil dispose d’un moyen à long terme permettant à un attaquant authentifié de conserver son accès pour toujours, ce qui sera problématique. »
Une requête utilisant le moteur de recherche Shodan ne montre que trois cas de systèmes vulnérables exposés à Internet.
Compte tenu de la récente vague d’exploits actifs ciblant les VPN, les pare-feu, les équilibreurs de charge et d’autres appareils positionnés à la périphérie du réseau, les utilisateurs de BIG-IP Central Manager feraient bien d’accorder une haute priorité à la correction des vulnérabilités. La disponibilité d’un code d’exploitation de preuve de concept dans la divulgation d’Eclypsium augmente encore la probabilité d’attaques actives.