CVE-2020-5902 | F5 BIG-IP远程代码执行漏洞通告
发布时间 2020-07-030x00 漏洞概述
|
CVE ID |
CVE-2020-5902 |
时 间 |
2020-07-03 |
|
类 型 |
RCE |
等 级 |
严重 |
|
远程利用 |
是 |
影响范围 |
F5 BIG-IP15.1.0、15.0.0、14.1.0-14.1.2、13.1.0-13.1.3、12.1.0-12.1.5、11.6.1-11.6.5 |
0x01 漏洞详情
F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。BIG-IP提供了应用程序加速、负载均衡、速率调整、SSL卸载和Web应用程序防护功能。该产品已被许多公司使用,F5声称全球50强公司中有48家是其客户。
网络安全公司Positive Technologies的研究人员发现了BIG-IP应用交付系统(ADC)的配置接口中的一个远程代码执行漏洞(CVE-2020-5902),CVSS评分10分,攻击者可利用该漏洞完全控制目标系统。
未经身份验证的攻击者或经过身份验证的用户通过BIG-IP管理端口或IP访问TMUI,攻击者可利用该漏洞执行任意系统命令、创建或删除文件、禁用服务、执行任意的Java代码。
0x02 处置建议
目前厂商发布了该软件11.x版本,12.x版本,13.x版本,14.x版本和15.1.0版本的修复措施,15.0.0版本的修复措施暂未发布,具体如下:
临时措施:
All network interfaces
为防止未经身份验证的攻击者利用此漏洞,请将LocationMatch配置元素添加到httpd。请执行以下步骤:
注意:经过身份验证的用户将仍然能够利用此漏洞,而无需考虑其特权级别。
1. 通过输入以下命令登录到TMOS Shell(tmsh):
Tmsh
2. 通过输入以下命令来编辑httpd属性:
edit /sys httpd all-properties
3. 找到include部分并添加以下内容:
include '
Redirect 404 /
'
4. 输入以下命令,保存到配置文件中:
Esc
:wq!
5. 输入以下命令来保存配置:
save /sys config
6. 输入以下命令重新启动httpd服务:
restart sys service httpd
Self IPs
通过Self IPs策略阻止对BIG-IP系统TMUI的访问权限。为此,您可以将系统中每个Self IPs的Port Lockdown设置为“Allow None”。如果必须打开任意端口,则应使用Allow Custom,注意禁止访问TMUI。默认情况下,TMUI侦听TCP 443端口,但是,从BIG-IP 13.0.0版本开始,Single-NIC BIG-IP VE部署使用TCP 8443端口,也可以配置自定义端口。
注意:通过Self IP策略禁止对TMUI/Configuration程序的权限的访问,这对其他服务可能产生影响。
在更改Self IPs的配置之前,请参考以下内容:
https://support.f5.com/csp/article/K17333
https://support.f5.com/csp/article/K13092
https://support.f5.com/csp/article/K31003634
https://support.f5.com/csp/article/K51358480
Management interface
相关信息请参考:
https://support.f5.com/csp/article/K13309
https://support.f5.com/csp/article/K13092
0x03 相关新闻
https://www.securityweek.com/serious-vulnerabilities-f5s-big-ip-allow-full-system-compromise?from=timeline
0x04 参考链接
https://support.f5.com/csp/article/K52145254
0x05 时间线
2020-07-01 F5发布安全公告
2020-07-03 VSRC发布漏洞通告
京公网安备11010802024551号