長亭漏洞風險提示
F5 BIG-IP 遠端代碼執行漏洞
(CVE-2020-5902)緩解方案繞過
F5 BIG-IP 是美國 F5 公司的一款內建了網絡流量管理、應用程式安全管理、負載均衡等功能的應用傳遞平台。TMUI( Traffic Management User Interface,也被叫做 Configuration utility )是 BIG-IP 中的一個元件。
7 月 1 日,F5 官方釋出安全通告,聲明對 BIG-IP TMUI 中的一處遠端代碼執行漏洞進行了修複:
https://support.f5.com/csp/article/K52145254
此漏洞 CVE 編号為 CVE-2020-5902,CVSSv3 評分 10.0,官方評級危害嚴重。
7 月 7 日更新:
有安全研究員發現官方通告裡給出的臨時緩解方案可被繞過,是以 7 月 7 日,官方更新了安全公告,對臨時緩解方案進行了更正。
漏洞描述
CVE-2020-5902 漏洞允許攻擊者在未經授權的情況下,通過向 TMUI 發送惡意攻擊請求,進而執行任意系統指令、建立或删除檔案、禁用服務,以及執行任意 Java 代碼,最終完全擷取系統權限。Appliance 模式下的 BIG-IP 系統也受到漏洞影響。
此漏洞不影響資料面闆,隻影響控制台。
7 月 7 日更新:
官方初版安全通告裡給出的臨時緩解方案是在 httpd 配置檔案中加入如下部分,以禁止請求的 url 路徑裡出現 ..; 進行路徑跳轉:
include '
Redirect 404 /
'
然而卻可以通過 /hsqldb; 無需跳轉,去直接請求 org.hsqldb.Servlet,進一步執行 Java 代碼。這種漏洞利用的方式,可以繞過上述配置規則。
注:此漏洞利用方式僅為官方給出的初版臨時緩解方案的繞過,不影響已經更新更新後的 BIG-IP。
影響範圍
- BIG-IP 15.1.0
- BIG-IP 15.0.0
- BIG-IP 14.1.0 - 14.1.2
- BIG-IP 13.1.0 - 13.1.3
- BIG-IP 12.1.0 - 12.1.5
- BIG-IP 11.6.1 - 11.6.5
解決方案
将 BIG-IP 更新到以下版本進行漏洞修複:
- BIG-IP 15.1.0.4
- BIG-IP 14.1.2.6
- BIG-IP 13.1.3.4
- BIG-IP 12.1.5.2
- BIG-IP 11.6.5.2
如若暫時無法更新更新,官方建議采用以下臨時緩解措施進行防禦。7 月 7 日官方更正後的緩解方案為:
(1) 通過 tmsh 指令登入獲得 TMOS Shell
(2) 輸入以下指令編輯 httpd 配置檔案:
edit /sys httpd all-properties
(3) 找到 include none 部分,修改為如下内容:
include '
Redirect 404 /
'
(4) 輸入以下指令來儲存對配置檔案的修改:
Esc
:wq!
(5) 輸入以下指令儲存配置:
save /sys config
(6) 最後輸入以下指令重新開機 httpd 服務:
restart sys service httpd
需要說明的是,以上臨時緩解措施隻能防禦未授權認證的攻擊者對此漏洞進行利用,而無法防禦已經獲得認證的攻擊者(權限不限)。
産品支援
- 洞鑒已更新相關應急檢測插件,更新引擎即可快速無害檢測資産中是否存在該漏洞,引擎更新包可咨詢長亭科技技術支援人員擷取。
參考資料
- https://support.f5.com/csp/article/K52145254
- https://www.criticalstart.com/f5-big-ip-remote-code-execution-exploit/
