{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) versions 15.x ant\u00e9rieures \u00e0 15.1.0.4","product":{"name":"BIG-IP","vendor":{"name":"F5","scada":false}}},{"description":"BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) versions 11.5.x et 11.6.x ant\u00e9rieures \u00e0 11.6.5.2","product":{"name":"BIG-IP","vendor":{"name":"F5","scada":false}}},{"description":"BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) versions 13.1.x ant\u00e9rieures \u00e0 13.1.3.4","product":{"name":"BIG-IP","vendor":{"name":"F5","scada":false}}},{"description":"BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) versions 12.1.x ant\u00e9rieures \u00e0 12.1.5.2","product":{"name":"BIG-IP","vendor":{"name":"F5","scada":false}}},{"description":"BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) versions 14.1.x ant\u00e9rieures \u00e0 14.1.2.6","product":{"name":"BIG-IP","vendor":{"name":"F5","scada":false}}}],"affected_systems_content":null,"closed_at":"2020-09-15","content":"## Solution\n\n**\\[Mise \u00e0 jour du 28 juillet 2020\\]**\n\nLe 22 juillet 2020, F5 a publi\u00e9 un outil qui tente de d\u00e9tecter des\ntraces de compromission : <a\nhref=\"https://github.com/f5devcentral/cve-2020-5902-ioc-bigip-checker/\"\nrel=\"noopener\"\ntarget=\"_blank\">https://github.com/f5devcentral/cve-2020-5902-ioc-bigip-checker/</a>.\n\nLe 27 juillet 2020, l'US-CERT a publi\u00e9 une alerte contenant une r\u00e8gle de\nd\u00e9tection au format Snort\n:\u00a0<a href=\"https://us-cert.cisa.gov/ncas/alerts/aa20-206a\" rel=\"noopener\"\ntarget=\"_blank\">https://us-cert.cisa.gov/ncas/alerts/aa20-206a</a>.\n\n**\\[Publication initiale\\]**\n\nIl est imp\u00e9ratif d'**appliquer les correctifs de s\u00e9curit\u00e9** publi\u00e9s par\nl'\u00e9diteur. Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour\nl'obtention des correctifs \\[1\\] (cf. section Documentation).\n\n**En cas de suspicion d'acc\u00e8s non autoris\u00e9 \u00e0 l'interface\nd'administration tmui**, si cette interface \u00e9tait accessible depuis un\nr\u00e9seau non s\u00fbr, le CERT-FR recommande fortement de :\n\n-   renouveler les mots de passe des comptes techniques et des comptes\n    utilisateurs d\u00e9clar\u00e9s sur les \u00e9quipements BIG-IP ;\n-   r\u00e9voquer et renouveler les certificats x509 d\u00e9clar\u00e9s sur les\n    \u00e9quipements BIG-IP ainsi que sur les \u00e9ventuels autres \u00e9quipements\n    utilisant ces m\u00eames certificats x509 s'il s'agit de certificats\n    multi-domaines (*wildcard*).\n\nLe CERT-FR rappelle \u00e9galement que l'\u00e9diteur a publi\u00e9 des bonnes\npratiques afin de **s\u00e9curiser l'administration de ses \u00e9quipements**\n\\[2\\]. Il convient notamment de :\n\n-   connecter le port d'administration sur un **r\u00e9seau d'administration\n    s\u00e9curis\u00e9** ;\n-   **interdire** l'acc\u00e8s \u00e0 l'interface d'administration tmui via les\n    adresses IP \"*Self IP*\" ;\n\n------------------------------------------------------------------------\n\n<span style=\"font-family: Liberation Serif, serif;\">La mise \u00e0\u00a0jour d'un\nproduit ou d'un logiciel est une op\u00e9ration d\u00e9licate qui doit \u00eatre men\u00e9e\navec prudence. Il est notamment recommander d'effectuer des tests autant\nque possible. Des dispositions doivent \u00e9galement \u00eatre prises pour\ngarantir la continuit\u00e9 de service en cas de difficult\u00e9s lors de\nl'application des mises \u00e0 jour <span style=\"color: #000000;\">comme des\ncorrectifs ou des changements de version.</span></span>\n\n## Contournement provisoire\n\n**\\[Mise \u00e0 jour du 08 juillet 2020\\]**\n\nLe 07 juillet 2020, F5 a mis \u00e0 jour son avis de s\u00e9curit\u00e9. La mesure de\ncontournement initialement pr\u00e9conis\u00e9e s'av\u00e8re incompl\u00e8te. Le CERT-FR\nrecommande l'application du correctif. Dans les cas o\u00f9 ce n'est pas\npossible, il est imp\u00e9ratif de mettre \u00e0 jour les propri\u00e9t\u00e9s\u00a0*httpd*\u00a0avec\nles changements indiqu\u00e9s dans l'avis F5 (cf. section Documentation).\n\n**\\[Publication initiale\\]**\n\nDans la mesure o\u00f9 les solutions peuvent n\u00e9cessiter des modifications\nimportantes, l'\u00e9diteur pr\u00e9conise un **contournement permettant de se\npr\u00e9munir contre un acc\u00e8s non autoris\u00e9 par un attaquant non\nauthentifi\u00e9**. L'\u00e9diteur indique que ce contournement ne devrait pas\navoir de cons\u00e9quence sur le fonctionnement de l'\u00e9quipement. Il s'agit\nd'\u00e9diter les propri\u00e9t\u00e9s du serveur web et ajouter une nouvelle r\u00e8gle\ndans la section 'include' afin d'interdire des requ\u00eates HTTP utilisant\nune syntaxe particuli\u00e8re pour l'URL. Ces recommandations sont indiqu\u00e9es\ndans l'avis de l'\u00e9diteur :\n<https://support.f5.com/csp/article/K52145254#all>\n\nL'\u00e9diteur pr\u00e9cise que ce contournement n'emp\u00eache pas un utilisateur\nauthentifi\u00e9 d'exploiter la vuln\u00e9rabilit\u00e9.\n\n\u00a0\n","cves":[{"name":"CVE-2020-5902","url":"https://www.cve.org/CVERecord?id=CVE-2020-5902"}],"links":[{"title":"[2] Bulletin F5 Networks pour la s\u00e9curisation de l'administration des \u00e9quipements BIG-IP","url":"https://support.f5.com/csp/article/K13092"},{"title":"Outil de d\u00e9tection F5","url":"https://github.com/f5devcentral/cve-2020-5902-ioc-bigip-checker/"},{"title":"Alerte US-CERT AA20-206A","url":"https://us-cert.cisa.gov/ncas/alerts/aa20-206a"}],"reference":"CERTFR-2020-ALE-015","revisions":[{"description":"Version initiale","revision_date":"2020-07-05T00:00:00.000000"},{"description":"Mise \u00e0 jour des recommandations F5.","revision_date":"2020-07-08T00:00:00.000000"},{"description":"Ajout de l'outil F5 et du lien vers l'alerte de l'US-CERT","revision_date":"2020-07-28T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2020-09-15T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Le 1er juillet 2020, F5 Networks a publi\u00e9 un avis de s\u00e9curit\u00e9 \\[1\\]\nconcernant la vuln\u00e9rabilit\u00e9 CVE-2020-5902. Cette vuln\u00e9rabilit\u00e9 permet \u00e0\nun attaquant non authentifi\u00e9 (ou un utilisateur authentifi\u00e9) ayant un\nacc\u00e8s r\u00e9seau \u00e0 l'interface d'administration tmui, d'ex\u00e9cuter un code\narbitraire \u00e0 distance. Cette vuln\u00e9rabilit\u00e9 a un score CVSS de 10. Cette\ninterface est accessible depuis le port d'administration ainsi que via\nles adresses IP \"*Self IP*\" \u00e9ventuellement configur\u00e9es sur l'\u00e9quipement\nBIG-IP.\n\n<strong>Note importante</strong> : Des <strong>campagnes de d\u00e9tection</strong> sont rapport\u00e9es\npubliquement et des <strong>preuves de concept ont \u00e9t\u00e9 publi\u00e9es depuis le 04\njuillet</strong>. Ces preuves de concept permettent notamment d'acc\u00e9der \u00e0 des\nfichiers de configuration.\n\nLe CERT-FR consid\u00e8re qu'il est imp\u00e9ratif d'appliquer <strong>sans d\u00e9lai</strong> les\nr\u00e8gles de configuration afin d'interdire l'acc\u00e8s \u00e0 l'interface\nd'administration depuis un r\u00e9seau non s\u00e9curis\u00e9 ainsi que d'appliquer les\ncorrectifs publi\u00e9s par l'\u00e9diteur.\n","title":"Vuln\u00e9rabilit\u00e9 dans F5 BIG-IP","vendor_advisories":[{"published_at":null,"title":"Avis CERT-FR CERTFR-2020-AVI-399 du 01 juillet 2020","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-399/"},{"published_at":null,"title":"[1] Bulletin de s\u00e9curit\u00e9 F5 K52145254 du 01 juillet 2020","url":"https://support.f5.com/csp/article/K52145254"}]}