Noodweekend door securitypatch dreigt rampweek te worden door exploit

De kostbare tijd tussen patchbeschikbaarheid en acuut aanvalsgevaar is nóg korter gebleken dan wat beveiligingsexperts hadden gevreesd. Net voor afgelopen weekend, wat in de Verenigde Staten een feestdag omvatte, is wereldwijd de waarschuwing uitgegaan dat beheerders meteen een kritieke patch moeten toepassen. Het gaat om een patch voor de BIG-IP netwerkapparaten (ADC's, ofwel application delivery controllers) van leverancier F5. In de Traffic Management User Interface (TMUI), die ook wel de Configuration utility wordt genoemd, zit een kwetsbaarheid die op afstand valt te misbruiken. Inmiddels is exploitcode (of: proof-of-concept code) publiekelijk bekend geworden en onder meer op Twitter en GitHub opgedoken.

Volledig overnemen

"Deze kwetsbaarheid kan leiden tot volledig compromitteren van het systeem", stelt fabrikant F5 in zijn security advisory hierover. In dat document, wat op woensdag 1 juli al is gepubliceerd, draagt de leverancier informatie én een patch aan. Vervolgens is in de loop van de dagen daarna de ernst doorgedrongen bij beveiligingsexperts en diverse security-instanties. Zo heeft de cyberdivisie van het Amerikaanse leger op vrijdag gewaarschuwd dat patchen van F5-apparatuur níet over het (feest)weekend heen getild moet worden.

Hierbij noemt Cybercom niet één maar twee kwetsbaarheden: CVE-2020-5902 en CVE-2020-5903. Eerstgenoemde is de gevaarlijkste, maar de tweede moet ook niet onderschat worden. Het 5903-geval is een XSS-kwetsbaarheid ( Cross-Site Scripting) in een verborgen pagina van de configuratietool voor F5 BIG-IP netwerkhardware. Daarlangs valt kwaadaardige JavaScript-code uit te voeren. Dit gebeurt dan met de rechten van de legitieme gebruiker die op het moment van zo'n aanval is ingelogd. Indien dat een beheerder is met toegang tot de systeem-shell (bash) kan een aanvaller volledige beheerrechten verkrijgen.

Hackcommando van 1 regel

Het 5902-geval in F5-netwerkapparatuur is echter een veel groter beveiligingsgat. Deze kwetsbaarheid geeft aanvallers de mogelijkheid om zónder authenticatie volledige macht te verkrijgen over die hardware en daarmee in wezen de netwerken van organisaties. Kwaadwillenden kunnen op afstand systeemopdrachten uitvoeren, bestanden wissen en aanmaken, services deactiveren en eigen Java-code uitvoeren. De hiervoor benodigde exploitcode is extreem klein: slechts 1 regel met daarin de URL van het F5-doelwit.

Bovendien is dit commando zeer 'leesbaar' voor gewone mensen. Hierdoor kunnen ook relatieve leken, zoals zogeheten scriptkiddies, ermee aan de slag. De toegekende CVSS-score (Common Vulnerability Scoring System) is dan ook 10 van 10; het hoogste niveau aan dreiging door IT-kwetsbaarheden. Het Nederlandse security-orgaan NCSC is zondag met een eigen waarschuwing gekomen naar aanleiding van lopende hackaanvallen (op de 5902-kwetsbaarheid). Het NCSC noemt in zijn informatiebulletin nog een reeks andere kwetsbaarheden in F5-apparatuur. In totaal gaat het om zeven CVE-gevallen (5902 tot en met 5908).