长亭漏洞风险提示
F5 BIG-IP 远程代码执行漏洞
(CVE-2020-5902)缓解方案绕过
F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。TMUI( Traffic Management User Interface,也被叫做 Configuration utility )是 BIG-IP 中的一个组件。
7 月 1 日,F5 官方发布安全通告,声明对 BIG-IP TMUI 中的一处远程代码执行漏洞进行了修复:
https://support.f5.com/csp/article/K52145254
此漏洞 CVE 编号为 CVE-2020-5902,CVSSv3 评分 10.0,官方评级危害严重。
7 月 7 日更新:
有安全研究员发现官方通告里给出的临时缓解方案可被绕过,因此 7 月 7 日,官方更新了安全公告,对临时缓解方案进行了更正。
漏洞描述
CVE-2020-5902 漏洞允许攻击者在未经授权的情况下,通过向 TMUI 发送恶意攻击请求,从而执行任意系统命令、创建或删除文件、禁用服务,以及执行任意 Java 代码,最终完全获取系统权限。Appliance 模式下的 BIG-IP 系统也受到漏洞影响。
此漏洞不影响数据面板,只影响控制面板。
7 月 7 日更新:
官方初版安全通告里给出的临时缓解方案是在 httpd 配置文件中加入如下部分,以禁止请求的 url 路径里出现 ..; 进行路径跳转:
include '
Redirect 404 /
'
然而却可以通过 /hsqldb; 无需跳转,去直接请求 org.hsqldb.Servlet,进一步执行 Java 代码。这种漏洞利用的方式,可以绕过上述配置规则。
注:此漏洞利用方式仅为官方给出的初版临时缓解方案的绕过,不影响已经更新升级后的 BIG-IP。
影响范围
- BIG-IP 15.1.0
- BIG-IP 15.0.0
- BIG-IP 14.1.0 - 14.1.2
- BIG-IP 13.1.0 - 13.1.3
- BIG-IP 12.1.0 - 12.1.5
- BIG-IP 11.6.1 - 11.6.5
解决方案
将 BIG-IP 升级到以下版本进行漏洞修复:
- BIG-IP 15.1.0.4
- BIG-IP 14.1.2.6
- BIG-IP 13.1.3.4
- BIG-IP 12.1.5.2
- BIG-IP 11.6.5.2
如若暂时无法更新升级,官方建议采用以下临时缓解措施进行防御。7 月 7 日官方更正后的缓解方案为:
(1) 通过 tmsh 命令登录获得 TMOS Shell
(2) 输入以下命令编辑 httpd 配置文件:
edit /sys httpd all-properties
(3) 找到 include none 部分,修改为如下内容:
include '
Redirect 404 /
'
(4) 输入以下命令来保存对配置文件的修改:
Esc
:wq!
(5) 输入以下命令保存配置:
save /sys config
(6) 最后输入以下命令重启 httpd 服务:
restart sys service httpd
需要说明的是,以上临时缓解措施只能防御未授权认证的攻击者对此漏洞进行利用,而无法防御已经获得认证的攻击者(权限不限)。
产品支持
- 洞鉴已升级相关应急检测插件,升级引擎即可快速无害检测资产中是否存在该漏洞,引擎升级包可咨询长亭科技技术支持人员获取。
参考资料
- https://support.f5.com/csp/article/K52145254
- https://www.criticalstart.com/f5-big-ip-remote-code-execution-exploit/
