F5 Networks, salah satu penyedia peralatan jaringan perusahaan terbesar di dunia, telah menerbitkan advisory keamanan minggu ini yang memperingatkan pelanggan untuk memperbaiki kerentanan keamanan berbahaya yang sangat mungkin untuk dieksploitasi dalam produk BIG-IP.
BIG-IP ini merupakan perangkat jaringan multiguna yang dapat berfungsi sebagai sistem shaping lalu lintas web, penyeimbang beban, firewall, akses gateway, pembatas rate, atau middleware SSL.
BIP-IP adalah salah satu produk jaringan paling populer yang digunakan saat ini. Mereka digunakan dalam jaringan pemerintah di berbagai penjuru dunia, di jaringan penyedia layanan internet, di dalam pusat data komputasi cloud, dan secara luas di seluruh jaringan perusahaan.
Di situs webnya, F5 mengatakan perangkat BIG-IP-nya digunakan di jaringan 48 perusahaan yang termasuk dalam daftar Fortune 50.
CVE-2020-5902
Dilacak sebagai CVE-2020-5902, kerentanan dalam BIG-IP ditemukan dan dilaporkan secara pribadi ke F5 oleh Mikhail Klyuchnikov, seorang peneliti keamanan di Positive Technologies.
Kerentanan yang ditemukan merupakan remote-code-execution dalam antarmuka manajemen BIG-IP, yang dikenal sebagai TMUI (Traffic Management User Interface).
Penyerang dapat mengeksploitasi kerentanan ini melalui internet untuk mendapatkan akses ke komponen TMUI BIG-IP yang berjalan di atas server Tomcat pada sistem operasi berbasis Linux.
Eksploitasi yang berhasil dapat memungkinkan penyerang untuk mengeksekusi perintah sistem, membuat atau menghapus file, menonaktifkan layanan, dan/atau mengeksekusi kode Java, yang akhirnya menyebabkan penyerang mendapatkan kontrol penuh atas perangkat BIG-IP.
Kerentanan ini sangat berbahaya sehingga menerima skor langka, yaitu 10 dari 10 pada skala keparahan kerentanan CVSSv3. Skor tinggi ini memiliki arti bahwa kerentanan keamanan mudah untuk dieksploitasi, diotomatisasi, dapat dieksploitasi melalui internet, dan tidak memerlukan akun yang valid atau keterampilan pengkodean tingkat lanjut untuk mengeksploitasinya.
CVE-2020-5903
Selain itu, Klyuchnikov juga melaporkan kerentanan XSS (dilacak sebagai CVE-2020-5903 dengan skor CVSS 7,5) di antarmuka konfigurasi BIG-IP yang memungkinkan penyerang menjalankan kode JavaScript berbahaya dengan peran administrator.
“Jika terdapat hak administrator dan akses ke Advanced Shell (bash), eksploitasi yang berhasil akan mendapatkan kontrol penuh atas perangkat BIG-IP melalui RCE,” kata peneliti.
Versi yang Terkena Dampak dan Perbaikan
Bagi pengguna yang memakai versi BIG-IP 11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x sangat disarankan untuk memperbarui perangkat ke versi terbaru, 11.6.5.2, 12.1 .5.2, 13.1.3.4, 14.1.2.6, 15.1.0.4 sesegera mungkin.
Selain itu, pengguna cloud publik seperti AWS (Amazon Web Services), Azure, GCP, dan Alibaba juga disarankan untuk beralih ke BIG-IP Virtual Edition (VE) versi 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1. 2.6, 15.0.1.4, atau 15.1.0.4, segera setelah tersedia.
Baca Juga: “Kerentanan Kritis Ditemukan Dalam Remote Desktop Gateway Apache“
Upaya Eksploitasi Ditemukan 3 Hari Setelah Pengungkapan Kerentanan
Peneliti keamanan telah berusaha menyebarkan peningkatan kesadaran tentang perlunya memperbaiki kerentanan ini, tanpa penundaan, sejak hari Rabu, ketika kerentanan dipublikasi, karena setiap serangan yang berhasil akan memberikan para aktor penjahat siber akses penuh ke beberapa infrastruktur IT penting.
The urgency of patching this cannot be understated. I worked for F5 for a decade; they power cell carriers, banks, Fortune 500 and many governments.
If deployed correctly the mgmt interface shouldn't be internet exposed but @binaryedgeio returns 14k hits for 'tmui' so YMMV 🤷♂️ https://t.co/IgKGgE7wBK
— Nate W. | #BlackLivesMatter | #NoJusticeNoPeace (@n0x08) July 2, 2020
Upaya mereka terhadap masalah ini juga dibantu oleh US Cyber Command, yang pada Jumat malam, hanya beberapa jam sebelum 4 Juli, meminta administrator sistem meluangkan waktu untuk memperbaiki perangkat BIG-IP yang terkena dampak.
URGENT: Patching CVE-2020-5902 and 5903 should not be postponed over the weekend. Remediate immediately. https://t.co/UBKECuN7Vv
— USCYBERCOM Cybersecurity Alert (@CNMF_CyberAlert) July 3, 2020
Menurut Warren, distribusi serangan terdeteksi sudah dimulai hanya beberapa jam setelah tweet dari US Cyber Command. Warren, yang saat ini mengoperasikan honeypots BIG-IP – server yang dibuat agar terlihat seperti perangkat BIG-IP – mengatakan ia mendeteksi serangan yang datang dari lima alamat IP yang berbeda.
First exploits coming from 🇮🇹 pic.twitter.com/HAySCfh79y
— Rich Warren (@buffaloverflow) July 4, 2020
