CVE-2020-5902, révélatrice de mauvaises pratiques bien trop répandues

Branle-bas de combat ce week-end : à travers le monde, et y compris en France, les autorités ont multiplié les appels à l’application urgence des correctifs pour la vulnérabilité CVE-2020-5902. Elle affecte les systèmes BIG-IP de F5, utilisés pour la gestion du trafic réseau, la protection applicative, et bien plus encore.

Comme le résume le Cert-FR dans un bulletin d’alerte, « cette vulnérabilité permet à un attaquant non authentifié (ou un utilisateur authentifié) ayant un accès réseau à l’interface d’administration tmui, d’exécuter un code arbitraire à distance ».

Dès lors, si cette interface n’est accessible que depuis le réseau interne, le risque est limité. F5 documente d’ailleurs la manière de restreindre l’accès à cette interface d’administration. Mais si celle-ci est exposée directement sur Internet, c’est une tout autre histoire.

Dimanche, Bad Packets recensait 1 832 hôtes vulnérables à travers le monde, effectivement accessibles sur Internet, en s’appuyant sur les données de Binary Edge. Le service de Troy Mursch évoquait également de premières opérations de recherche opportuniste de systèmes affectés, ainsi qu’une première campagne d’attaque en déni de service. Surtout, un démonstrateur d’exploitation complète de la vulnérabilité a été rendu public en plain week-end. Certains avaient alerté sur l’urgence d’appliquer les mesures correctives appropriées ; ils avaient manifestement raison.

Selon Bad Packets, il fallait compter hier sur 17 systèmes vulnérables exposés par des IP françaises. Durant le week-end, le moteur de recherche spécialisé Shodan recensait quant à lui au moins deux entreprises du CAC40 concernées. Et selon nos informations, c’est loin de s’arrêter à cela, avec des organisations aux profils variés et parfois plusieurs systèmes exposés chacune. Le nom attribué à certains d’entre eux montre ouvertement qu’ils n’avaient en aucun cas vocation à être exposés sur Internet.

Cette situation en rappelle une autre, récemment observée. Fin janvier, Bouygues Construction était frappé par le ransomware Maze. Notre enquête sur la liste de systèmes revendiqués par les cyberdélinquants comme chiffrés par leur soin avait fait ressortir 23 adresses IP renvoyant à l’infrastructure d’Axione. Ce spécialiste de l’aménagement numérique auprès des collectivités territoriales, est une filiale de Bouygues Energies & Services et une prise de participation de Vauban Infrastructure Partners (ancienne activité Infrastructures Généralistes de Mirova), une filiale de Natixis.

Au moins 18 de ces adresses IP ont exposé directement sur Internet les interfaces Web d’administration de pare-feu Juniper SRX300. Pour plusieurs d’entre elles, les données du moteur de recherche Onyphe étaient formelles : l’exposition remontait au moins à juillet 2019. Le problème semble avoir été identifié par les équipes chargées de la réponse à incident et, début février, ces interfaces n’étaient plus accessibles à n’importe qui. Et elles n’auraient jamais dû l’être.