【更新通告】F5 BIG-IP TMUI 远程代码执行漏洞(CVE-2020-5902)通告

2020-07-16 15:25:00 浏览数 (1)

通告编号:NS-2020-0040-1

2020-07-12

TAG:

F5、TMUI、CVE-2020-5902、官方公告更新

漏洞危害:

攻击者利用此漏洞,可实现远程代码执行。

版本:

1.1

1

漏洞概述

近日,绿盟科技监测到F5官方对流量管理用户界面(TMUI)远程代码执行漏洞(CVE-2020-5902)的安全公告进行了更新。受影响的15.x版本变更为15.0.0-15.1.0,更新了可被绕过的临时缓解措施及验证方法;未经身份验证的攻击者通过BIG-IP管理端口或自身IP访问TMUI,可构造恶意请求获取目标服务器权限,CVSS评分为10分。目前msf已经集成了该漏洞的利用,建议还未修复的用户尽快采取措施进行防护。

F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。

绿盟科技烈鹰战队第一时间复现了此漏洞:

文件读取:

远程代码执行:

参考链接:

https://support.f5.com/csp/article/K52145254

SEE MORE →

2影响范围

受影响版本

  • F5 BIG-IP 15.x:15.0.0 - 15.1.0
  • F5 BIG-IP 14.x:14.1.0 - 14.1.2
  • F5 BIG-IP 13.x:13.1.0 - 13.1.3
  • F5 BIG-IP 12.x:12.1.0 - 12.1.5
  • F5 BIG-IP 11.x:11.6.1 - 11.6.5

不受影响版本

  • F5 BIG-IP 15.x:15.1.0.4
  • F5 BIG-IP 14.x:14.1.2.6
  • F5 BIG-IP 13.x:13.1.3.4
  • F5 BIG-IP 12.x:12.1.5.2
  • F5 BIG-IP 11.x:11.6.5.2

3漏洞检测

3.1 版本检测

一、用户可通过在TMOS shell(tmsh)中输入以下命令,查看当前使用的版本:

show /sys version

二、用户也可登录Web管理界面查看当前BIG-IP的版本:

若版本在受影响范围内即存在安全风险。

3.2 产品检测

绿盟科技远程安全评估系统(RSAS)与WEB应用漏洞扫描系统(WVSS)已具备对此漏洞(CVE-2020-5902)的扫描与检测能力,请有部署以上设备的用户升级至最新版本。

升级包版本号

升级包下载链接

RSAS V6 系统插件包

V6.0R02F01.1902

http://update.nsfocus.com/update/downloads/id/106313

RSAS V6 Web插件包

V6.0R02F00.1801

http://update.nsfocus.com/update/downloads/id/106314

WVSS 6.0插件升级包

V6.0R03F00.167

http://update.nsfocus.com/update/downloads/id/106312

关于RSAS的升级配置指导,请参考如下链接:

https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg

4漏洞防护

4.1 官方升级

目前F5官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://support.f5.com/csp/article/K9502

升级指南与注意事项请参阅https://support.f5.com/csp/article/K13123

4.2 临时防护措施

若相关用户暂时无法进行升级操作,可采用以下措施进行缓解。

一:为防止未经身份验证的攻击者利用此漏洞,可将LocationMatch配置元素添加到httpd(此措施可以使用命令行在本地执行,也可通过iControl REST界面远程执行)。操作步骤如下:

1. 使用以下命令登录到TMOS Shell(tmsh):

tmsh

2.通过以下命令修改httpd配置文件:

edit /sys httpd all-properties

3.将文件中的<include>部分修改为下列内容:

include '<LocationMatch ";">Redirect 404 /</LocationMatch><LocationMatch "hsqldb">Redirect 404 /</LocationMatch>'

4. 按Esc键并输入以下命令,保存对配置文件的修改:

:wq!

5. 输入以下命令保存配置:

save /sys config

6.通过以下命令重启httpd服务使配置文件生效:

restart sys service httpd

二:建议用户禁止外部IP对TMUI的访问,或只允许管理人员在安全网络环境下访问。

注:采用方法一、二无法完全防护此漏洞,仍有可能被可访问TMUI并经过身份验证的用户利用。

三:可通过Self IPs策略阻止对BIG-IP系统TMUI的所有访问。操作方式:

将系统中每个Self IPs的“Port Lockdown”设置更改为“Allow None”。 如果必须开放端口,则可选择使用“Allow Custom”,但需要设置禁止访问TMUI的端口。

注:方法三可以防止通过Self IP对TMUI/Configuration实用程序进行访问,但这些策略还可能会影响到其他服务。

验证方法如下

用户可通过访问以下URL来验证缓解措施是否有效:

https://[IP ADDRESS]/tmui/login.jsp/..;/login.jsp

https://[IP ADDRESS]/hsqldb

在缓解措施应用成功后将收到404响应。

4.3 产品防护

针对此漏洞,绿盟科技Web应用防护系统(WAF)现有规则(编号27526188)已可进行防护,请相关用户及时升级规则,以形成安全产品防护能力。安全防护产品规则版本号如下:

升级包版本号

升级包下载链接

WAF规则6.0.4.0升级包

6.0.4.1.45556

http://update.nsfocus.com/update/downloads/id/106064

WAF规则6.0.7.0升级包

6.0.7.0.45556

http://update.nsfocus.com/update/downloads/id/106063

WAF规则6.0.7.1升级包

6.0.7.1.45556

http://update.nsfocus.com/update/downloads/id/106061

产品规则升级的操作步骤可参阅链接:

https://mp.weixin.qq.com/s/oubjPqR4DURWPvrQ9W9mWA

END

0 人点赞