Pourquoi c’est important : Les pirates utilisent un exploit de mot de passe vide pour obtenir le contrôle root sur des réseaux entiers. Des milliers d’appareils ont déjà été touchés. Si vous êtes un administrateur utilisant les appareils BIG-IP de F5, mettez-les à jour dès que possible.
Les chercheurs en sécurité ont découvert une grave vulnérabilité dans les équipements réseau sensibles utilisés par la plupart des plus grandes entreprises du Fortune 50. La faille, CVE-2022-1388, a un indice de gravité de 9,8 sur 10. Elle mérite le classement élevé car les pirates exploitent déjà la faiblesse, ce qui leur permet d’exécuter des commandes root sans même entrer de mot de passe, leur donnant un contrôle total de le réseau.
La vulnérabilité réside dans la gamme d’équipements réseau BIG-IP de F5. Les entreprises utilisent cet équipement pour l’équilibrage de charge, les pare-feu et le cryptage des données. C’est particulièrement préoccupant car BIG-IP est souvent utilisé sur les bords du réseau pour gérer le trafic et peut voir les données décryptées des sites protégés par HTTPS. La société de sécurité Randori note que les chercheurs ont enregistré plus de 16 000 instances de l’exploit à l’aide de Shodan.
Apparemment, les appareils ont un code d’authentification, YWRtaW46, que certains pensaient être un mot de passe codé en dur. Cependant, l’analyste de vulnérabilité Will Dormann fait remarquer que YWRtaW46 n’est que le mot « admin : » au format Base64 – une authentification par défaut pour de nombreux appareils compatibles Internet.
De nombreux professionnels de la sécurité ont été stupéfaits par ce trou béant.
Je ne suis pas entièrement convaincu que ce code n’a pas été planté par un développeur effectuant de l’espionnage d’entreprise pour une entreprise de réponse aux incidents comme une sorte de système de garantie de revenus.
Si oui, brillant. Sinon, WTAF… https://t.co/4F237teFa2
– Jake Williams (@MalwareJake) 9 mai 2022
Heureusement, F5 a publié un correctif le 4 mai pour combler le trou, mais plusieurs entreprises se démènent probablement encore pour mettre à jour tout leur équipement. La société affirme que l’exploit impliquait une implémentation défectueuse d’iControl REST, un ensemble d’interfaces de configuration et de gestion basées sur le Web pour les appareils BIG-IP. Il a fortement conseillé aux entreprises d’évaluer leur équipement pour cette vulnérabilité et a fourni un tableau des appareils concernés.
Randori a publié un script bash que les administrateurs peuvent exécuter pour vérifier les vulnérabilités. Il propose également d’autres suggestions d’atténuation à utiliser lors de la mise à jour du matériel du réseau.