【漏洞通告】F5 BIG-IP TMUI 遠程代碼執行漏洞(CVE-2020-5902)通告
原創 威脅對抗能力部 [綠盟科技安全情報](javascript:void(0)😉 今天
通告編號:NS-2020-0040
2020-07-06
| TA****G: | F5、TMUI、CVE-2020-5902、EXP披露 |
|---|---|
| 漏洞危害: | 高,攻擊者利用此漏洞,可實現遠程代碼執行。 |
| 應急等級: | 黃色 |
| 版本: | 1.0 |
1
漏洞概述
近日,F5官方發佈公告修復了一個存在於流量管理用戶界面(TMUI)的遠程代碼執行漏洞(CVE-2020-5902)。未經身份驗證的攻擊者通過BIG-IP管理端口或自身IP訪問TMUI,可構造惡意請求以獲取目標服務器權限,CVSS評分爲10分。綠盟科技監測到網絡上已有EXP披露,並且目前已有利用該漏洞的攻擊行爲出現,建議相關用戶儘快採取措施防護。
F5 BIG-IP 是美國 F5 公司的一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。
綠盟科技烈鷹戰隊第一時間復現了此漏洞:
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-mdkxBeE7-1594044310148)(data:image/gif;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAYAAAAfFcSJAAAADUlEQVQImWNgYGBgAAAABQABh6FO1AAAAABJRU5ErkJggg==)]
參考鏈接:
https://support.f5.com/csp/article/K52145254
SEE MORE →
2影響範圍
受影響版本
- F5 BIG-IP 15.x:15.1.0、15.0.0
- F5 BIG-IP 14.x:14.1.0 - 14.1.2
- F5 BIG-IP 13.x:13.1.0 - 13.1.3
- F5 BIG-IP 12.x:12.1.0 - 12.1.5
- F5 BIG-IP 11.x:11.6.1 - 11.6.5
不受影響版本
- F5 BIG-IP 15.x:15.1.0.4
- F5 BIG-IP 14.x:14.1.2.6
- F5 BIG-IP 13.x:13.1.3.4
- F5 BIG-IP 12.x:12.1.5.2
- F5 BIG-IP 11.x:11.6.5.2
3漏洞檢測
3.1 版本檢測
一、用戶可通過在TMOS shell(tmsh)中輸入以下命令,查看當前使用的版本:
show /sys version
二、用戶也可登錄Web管理界面查看當前BIG-IP的版本:
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-rtzZdhBm-1594044310150)(data:image/gif;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAYAAAAfFcSJAAAADUlEQVQImWNgYGBgAAAABQABh6FO1AAAAABJRU5ErkJggg==)]
若版本在受影響範圍內即存在安全風險。
3.2 產品檢測
綠盟科技遠程安全評估系統(RSAS)與WEB應用漏洞掃描系統(WVSS)已具備對此漏洞(CVE-2020-5902)的掃描與檢測能力,請有部署以上設備的用戶升級至最新版本。
| 升級包版本號 | 升級包下載鏈接 | |
|---|---|---|
| RSAS V6 系統插件包 | V6.0R02F01.1902 | http://update.nsfocus.com/update/downloads/id/106313 |
| RSAS V6 Web****插件包 | V6.0R02F00.1801 | http://update.nsfocus.com/update/downloads/id/106314 |
| WVSS 6.0****插件升級包 | V6.0R03F00.167 | http://update.nsfocus.com/update/downloads/id/106312 |
關於RSAS的升級配置指導,請參考如下鏈接:
https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg
4漏洞防護
4.1 官方升級
目前F5官方已在最新版本中修復了該漏洞,請受影響的用戶儘快升級版本進行防護,官方下載鏈接:https://support.f5.com/csp/article/K9502
升級指南與注意事項請參閱https://support.f5.com/csp/article/K13123
4.2 臨時防護措施
若相關用戶暫時無法進行升級操作,可採用以下措施進行緩解。
一:爲防止未經身份驗證的攻擊者利用此漏洞,可將LocationMatch配置元素添加到httpd。操作步驟如下:
\1. 使用以下命令登錄到TMOS Shell(tmsh):
tmsh
2.通過以下命令修改httpd配置文件:
edit /sys httpd all-properties
3.將文件中的部分修改爲下列內容:
include ‘<LocationMatch “...;.”>Redirect 404 /’
\4. 按Esc鍵並輸入以下命令,保存對配置文件的修改:
:wq!
\5. 輸入以下命令保存配置:
save /sys config
6.通過以下命令重啓httpd服務使配置文件生效:
restart sys service httpd
二:建議用戶禁止外部IP對TMUI的訪問,或只允許管理人員在安全網絡環境下訪問。
**注:**採用方法一和二無法完全防護此漏洞,仍有可能被可訪問TMUI並經過身份驗證的用戶利用。
三:可通過Self IPs策略阻止對BIG-IP系統TMUI的所有訪問。操作方式:
將系統中每個Self IPs的“Port Lockdown”設置更改爲“Allow None”。 如果必須開放端口,則可選擇使用“Allow Custom”,但需要設置禁止訪問TMUI的端口。
**注:**方法三可以防止通過Self IP對TMUI/Configuration實用程序進行訪問,但這些策略還可能會影響到其他服務。
4.3 產品防護
針對此漏洞,綠盟科技Web應用防護系統(WAF)現有規則(編號27526188)已可進行防護,請相關用戶及時升級規則,以形成安全產品防護能力。安全防護產品規則版本號如下:
| 升級包版本號 | 升級包下載鏈接 | |
|---|---|---|
| WAF****規則6.0.4.0升級包 | 6.0.4.1.45556 | http://update.nsfocus.com/update/downloads/id/106064 |
| WAF規則6.0.7.0****升級包 | 6.0.7.0.45556 | http://update.nsfocus.com/update/downloads/id/106063 |
| WAF規則6.0.7.1升級包 | 6.0.7.1.45556 | http://update.nsfocus.com/update/downloads/id/106061 |
產品規則升級的操作步驟可參閱鏈接:
https://mp.weixin.qq.com/s/oubjPqR4DURWPvrQ9W9mWA
轉載自https://mp.weixin.qq.com/s/7Bo7Zx7PXYtHiQh6LD5tSA