CVE-2020-5902: F5 BIG-IP 遠程代碼執行漏洞通告
360-CERT [三六零CERT](javascript:void(0)😉 今天
0x00 漏洞簡述
2020年07月03日, 360CERT監測發現 F5 發佈了 F5 BIG-IP 遠程代碼執行 的風險通告,該漏洞編號爲 CVE-2020-5902,漏洞等級:嚴重。
未授權的遠程攻擊者通過向漏洞頁面發送特製的請求包,可以造成任意 Java 代碼執行。進而控制 F5 BIG-IP 的全部功能,包括但不限於: 執行任意系統命令、開啓/禁用服務、創建/刪除服務器端文件等。該漏洞影響控制面板受影響,不影響數據面板。
對此,360CERT建議廣大用戶及時將 BIG-IP 按照修復建議升級到指定版本。與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
0x01 風險等級
360CERT對該漏洞的評定結果如下
| 評定方式 | 等級 |
|---|---|
| 威脅等級 | 嚴重 |
| 影響面 | 廣泛 |
0x02 漏洞詳情
F5 BIG-IP 是美國F5公司一款集成流量管理、DNS、出入站規則、web應用防火牆、web網關、負載均衡等功能的應用交付平臺。
在 F5 BIG-IP 產品的流量管理用戶頁面 (TMUI)/配置實用程序的特定頁面中存在一處遠程代碼執行漏洞。
未授權的遠程攻擊者通過向該頁面發送特製的請求包,可以造成任意Java 代碼執行。進而控制 F5 BIG-IP 的全部功能,包括但不限於: 執行任意系統命令、開啓/禁用服務、創建/刪除服務器端文件等。
0x03 影響版本
- BIG-IP 15.x: 15.1.0/15.0.0
- BIG-IP 14.x: 14.1.0 ~ 14.1.2
- BIG-IP 13.x: 13.1.0 ~ 13.1.3
- BIG-IP 12.x: 12.1.0 ~ 12.1.5
- BIG-IP 11.x: 11.6.1 ~ 11.6.5
0x04 修復建議
通用修補建議:
升級到以下版本
- BIG-IP 15.x: 15.1.0.4
- BIG-IP 14.x: 14.1.2.6
- BIG-IP 13.x: 13.1.3.4
- BIG-IP 12.x: 12.1.5.2
- BIG-IP 11.x: 11.6.5.2
臨時修補建議:
官方建議可以通過以下步驟臨時緩解影響
- 使用以下命令登錄對應系統
tmsh
- 編輯
httpd組件的配置文件
edit /sys httpd all-properties
- 文件內容如下
include '
<LocationMatch ".*\.\.;.*">
Redirect 404 /
</LocationMatch>
'
- 按照如下操作保存文件
按下 ESC 並依次輸入
:wq
- 執行命令刷新配置文件
save /sys config
- 重啓 httpd 服務
restart sys service httpd
並禁止外部IP對 TMUI 頁面的訪問
0x05 相關空間測繪數據
360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪,發現BIG-IP在 全球 均有廣泛使用,具體分佈如下圖所示。
0x06 產品側解決方案
360城市級網絡安全監測服務
360安全大腦的QUAKE資產測繪平臺通過資產測繪技術手段,對該類事件進行監測,請用戶聯繫相關產品區域負責人或(quake#360.cn)獲取對應產品。
0x07 時間線
2020-07-01 F5官方發佈通告
2020-07-03 360CERT發佈通告
0x08 參考鏈接
- Article: K52145254 - TMUI RCE vulnerability CVE-2020-5902 [https://support.f5.com/csp/article/K52145254]
- BIG-IP 應用程序服務、硬件和軟件 | F5 [https://www.f5.com.cn/products/big-ip-services]
轉載自 https://mp.weixin.qq.com/s/MCNGMX4q8ZrxLOzeaKGGvQ