13 août 2019 |

BIG-IP de F5 : F-Secure décèle un grave défaut de sécurité pouvant donner lieu à des intrusions informatiques en masse

Christoffer Jerkeby, Security Consultant chez F-Secure, a identifié un défaut de sécurité susceptible de transformer des centaines de milliers d'équilibreurs de charge en vecteurs de cyber attaques.

Rueil-Malmaison – 13 août 2019 : F-Secure, fournisseur de services en cyber sécurité, invite les organisations utilisant l’équilibreur de charge BIG-IP de F5 Networks, à remédier aux problèmes de sécurité posés par plusieurs configurations.

BIG-IP est notamment populaire auprès des gouvernements, des banques et d’autres grandes entreprises. Mal configuré, cet équilibreur de charge peut servir de porte d’entrée pour les pirates informatiques. Ces derniers peuvent alors s’infiltrer sur les réseaux et effectuer de nombreuses attaques contre les entreprises et particuliers utilisant les services web gérés par le produit corrompu.

Le défaut de sécurité réside dans le langage de programmation Tcl utilisé pour définir les règles iRules (la fonctionnalité utilisée par BIG-IP pour diriger le trafic web entrant). Certaines pratiques de codage permettent aux hackers d’injecter des commandes Tcl arbitraires pouvant être exécutées dans le script Tcl cible.

Lorsqu’ils exploitent avec succès ces règles iRules mal configurées, les hackers peuvent utiliser le BIG-IP corrompu comme vecteur pour lancer d’autres attaques et réaliser des intrusions réseaux. Ils peuvent également intercepter et manipuler le trafic web, de manière à exposer des informations sensibles (identifiants, secrets d’application) ou à attaquer des utilisateurs des services web de l’organisation.

Exploiter un système vulnérable peut parfois s’avérer aussi simple que d’entrer une commande ou une ligne de code dans le cadre d’une requête web : la technologie se charge du reste. Dans certains cas, le dispositif corrompu n’enregistre pas les actions du pirate informatique : aucune preuve de l’attaque ne peut alors être récupérée. Dans d’autres cas, le hacker peut effacer lui-même les logs retraçant ses opérations, entravant ainsi sérieusement tout travail d’enquête.

« Ce défaut de configuration est relativement sérieux puisqu’il permet au pirate d’opérer furtivement : il peut s’infiltrer, atteindre ses objectifs, puis effacer ses traces. Le problème est d’autant plus grave que, souvent, les entreprises ne sont pas aptes à identifier et résoudre les problèmes de sécurité cachés dans la chaîne d’approvisionnement logicielle », explique Christoffer Jerkeby, Senior Security Consultant chez F-Secure. « À moins de savoir quoi chercher, il est difficile d’anticiper un problème de sécurité de cette nature, ou pire, de le gérer en cas d’attaque. »

Christoffer Jerkeby a identifié plus de 300 000 instances actives de BIG-IP sur internet au cours de ses recherches mais il estime que, compte-tenu des limitations méthodologiques, le nombre réel pourrait être beaucoup plus élevé.

Ce type de vulnérabilité n’est pas nouveau et est connu depuis un certain temps, tout comme d’autres vulnérabilités d’injection de commandes identifiées dans d’autres langages informatiques répandus. Toutes les entités utilisant BIG-IP ne sont pas concernées par ce problème de sécurité. Toutefois, cet équilibreur de charge est très répandu chez les organismes bancaires, les organisations gouvernementales et d’autres entités proposant des services en ligne très populaires. De ce fait, les enjeux sont grands et de nombreuses personnes sont concernées. Toutes les organisations utilisant cet équilibreur de charges doivent donc évaluer leur degré d’exposition.

« Si elles n’ont pas mené d’enquête approfondie sur cette technologie, il est fort probable que les entreprises utilisant cette technologie soient concernées par le problème », explique Christoffer Jerkeby. « Même un professionnel extrêmement bien informé sur la sécurité peut laisser passer un tel défaut de configuration. Il est essentiel de sensibiliser les entreprises si nous souhaitons les aider à mieux se protéger contre ce vrai risque d’intrusion. »

Recommandations aux organisations

Il est possible de procéder à un balayage massif d’internet afin d’identifier et exploiter les instances vulnérables de cette technologie. Dans certains cas, ce processus peut même être automatisé. Ce problème de sécurité est donc susceptible d’attirer l’attention des chasseurs de bug bounty… et des pirates informatiques. De plus, des versions d’essai gratuites de BIG-IP sont proposées et il est possible d’accéder à une version cloud pour un coût minime, à partir d’AWS. F-Secure conseille donc aux organisations d’enquêter de manière proactive pour savoir si elles sont affectées ou non par ce défaut de sécurité, compte-tenu des risques encourus.

Christoffer Jerkeby a aidé à développer des outils libres et gratuits que les organisations peuvent utiliser pour identifier les configurations non sécurisées de leurs équilibreurs BIG-IP. Il souligne toutefois qu’il n’existe pas de solution miracle : les organisations doivent répondre elles-mêmes au problème.

« La bonne nouvelle, c’est que tous les utilisateurs ne sont pas affectés par ce défaut de sécurité. La mauvaise, c’est que ce type de problème ne peut pas être résolu par un simple patch ou une simple mise à jour : il appartient aux organisations de vérifier si elles ont ce problème et de le résoudre si c’est le cas », explique-t-il. « Quiconque utilise BIG-IP doit donc se montrer pro-actif. »

Pour plus d’informations sur les recherches de Christoffer Jerkeby, consultez le blog de F-Secure.

À propos de F-Secure

F-Secure dispose d’une visibilité inégalée sur les cyber attaques réelles. Nous comblons le fossé entre détection et réponse aux cyber attaques. Pour ce faire, nous misons sur l’expertise inégalée de centaines de consultants techniques − les meilleurs du secteur −, sur les millions d’appareils exécutant nos logiciels récompensés et sur des innovations permanentes en matière d’intelligence artificielle. Banques, compagnies aériennes et multinationales nous font confiance pour combattre les cyber menaces les plus redoutables. Avec notre réseau de partenaires de distribution et plus de 200 fournisseurs de services, nous veillons à ce que chacun puisse compter sur une cyber sécurité de haut-niveau.

Fondée en 1988, F-Secure est une entreprise du NASDAQ OMX Helsinki Ltd.

f-secure.com | twitter.com/fsecure | facebook.com/f-secure

Le Blog de F-Secure | Espace Presse F-Secure | Dossier de Presse

Contacts Médias

Guillaume Ortega
06 31 45 81 09
guillaume.ortega@f-secure.com

Derniers communiqués de presse

29 octobre 2019

F-Secure et Zyxel renforcent leur coopération pour améliorer la protection des foyers connectés via les fournisseurs d’accès à internet.

Les passerelles Wi-Fi sécurisées s’installent dans les foyers d’Europe et d’Amérique du Nord via des clients et partenaires Zyxel.

23 octobre 2019

F-Secure prend part à la création des normes de sécurité de la Fondation prpl

F-Secure veille à la sécurité des particuliers en apportant une solution répondant à la problématique de sécurité des routeurs.

3 octobre 2019

F-Secure rejoint ETIS pour aider les opérateurs de télécommunications européens à sécuriser les foyers connectés

F-Secure travaille depuis longtemps déjà avec les opérateurs. Cette expérience est un atout-clé pour aider le secteur des télécommunications à assurer la sécurité des foyers connectés.

23 septembre 2019

Le Programme Partenaires F-Secure associe technologies, formations et de multiples avantages

Le programme aide les revendeurs de F-Secure à apporter des solutions de sécurité d’entreprise à un plus grand nombre d’organisations.

%d blogueurs aiment cette page :