CVE-2020-5902 | F5 BIG-IP远程代码执行漏洞通告

发布时间 2020-07-03

0x00 漏洞概述



CVE   ID

CVE-2020-5902

   

2020-07-03

   

RCE

   

严重

远程利用

影响范围

F5 BIG-IP15.1.015.0.014.1.0-14.1.213.1.0-13.1.312.1.0-12.1.511.6.1-11.6.5


0x01 漏洞详情




F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。BIG-IP提供了应用程序加速、负载均衡、速率调整、SSL卸载和Web应用程序防护功能。该产品已被许多公司使用,F5声称全球50强公司中有48家是其客户。

网络安全公司Positive Technologies的研究人员发现了BIG-IP应用交付系统(ADC)的配置接口中的一个远程代码执行漏洞(CVE-2020-5902),CVSS评分10分,攻击者可利用该漏洞完全控制目标系统。

未经身份验证的攻击者或经过身份验证的用户通过BIG-IP管理端口或IP访问TMUI,攻击者可利用该漏洞执行任意系统命令、创建或删除文件、禁用服务、执行任意的Java代码。


0x02 处置建议


目前厂商发布了该软件11.x版本,12.x版本,13.x版本,14.x版本和15.1.0版本的修复措施,15.0.0版本的修复措施暂未发布,具体如下:




临时措施:

 All network interfaces

为防止未经身份验证的攻击者利用此漏洞,请将LocationMatch配置元素添加到httpd。请执行以下步骤:

注意:经过身份验证的用户将仍然能够利用此漏洞,而无需考虑其特权级别。

1. 通过输入以下命令登录到TMOS Shell(tmsh):

Tmsh

2. 通过输入以下命令来编辑httpd属性:

edit /sys httpd all-properties

3. 找到include部分并添加以下内容:

include '

Redirect 404 /


'

4. 输入以下命令,保存到配置文件中:

Esc

:wq!

5. 输入以下命令来保存配置:

save /sys config

6. 输入以下命令重新启动httpd服务:

restart sys service httpd

 Self IPs

通过Self IPs策略阻止对BIG-IP系统TMUI的访问权限。为此,您可以将系统中每个Self IPs的Port Lockdown设置为“Allow None”。如果必须打开任意端口,则应使用Allow Custom,注意禁止访问TMUI。默认情况下,TMUI侦听TCP 443端口,但是,从BIG-IP 13.0.0版本开始,Single-NIC BIG-IP VE部署使用TCP 8443端口,也可以配置自定义端口。

注意:通过Self IP策略禁止对TMUI/Configuration程序的权限的访问,这对其他服务可能产生影响。

在更改Self IPs的配置之前,请参考以下内容:

https://support.f5.com/csp/article/K17333

https://support.f5.com/csp/article/K13092

https://support.f5.com/csp/article/K31003634

https://support.f5.com/csp/article/K51358480

 Management interface

相关信息请参考:

https://support.f5.com/csp/article/K13309

https://support.f5.com/csp/article/K13092


0x03 相关新闻


https://www.securityweek.com/serious-vulnerabilities-f5s-big-ip-allow-full-system-compromise?from=timeline


0x04 参考链接


https://support.f5.com/csp/article/K52145254


0x05 时间线


2020-07-01 F5发布安全公告

2020-07-03 VSRC发布漏洞通告