通告编号:NS-2020-0040-1
2020-07-12
TAG: | F5、TMUI、CVE-2020-5902、官方公告更新 |
---|---|
漏洞危害: | 攻击者利用此漏洞,可实现远程代码执行。 |
版本: | 1.1 |
1
漏洞概述
近日,绿盟科技监测到F5官方对流量管理用户界面(TMUI)远程代码执行漏洞(CVE-2020-5902)的安全公告进行了更新。受影响的15.x版本变更为15.0.0-15.1.0,更新了可被绕过的临时缓解措施及验证方法;未经身份验证的攻击者通过BIG-IP管理端口或自身IP访问TMUI,可构造恶意请求获取目标服务器权限,CVSS评分为10分。目前msf已经集成了该漏洞的利用,建议还未修复的用户尽快采取措施进行防护。
F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。
绿盟科技烈鹰战队第一时间复现了此漏洞:
文件读取:
远程代码执行:
参考链接:
https://support.f5.com/csp/article/K52145254
SEE MORE →
2影响范围
受影响版本
- F5 BIG-IP 15.x:15.0.0 - 15.1.0
- F5 BIG-IP 14.x:14.1.0 - 14.1.2
- F5 BIG-IP 13.x:13.1.0 - 13.1.3
- F5 BIG-IP 12.x:12.1.0 - 12.1.5
- F5 BIG-IP 11.x:11.6.1 - 11.6.5
不受影响版本
- F5 BIG-IP 15.x:15.1.0.4
- F5 BIG-IP 14.x:14.1.2.6
- F5 BIG-IP 13.x:13.1.3.4
- F5 BIG-IP 12.x:12.1.5.2
- F5 BIG-IP 11.x:11.6.5.2
3漏洞检测
3.1 版本检测
一、用户可通过在TMOS shell(tmsh)中输入以下命令,查看当前使用的版本:
show /sys version |
---|
二、用户也可登录Web管理界面查看当前BIG-IP的版本:
若版本在受影响范围内即存在安全风险。
3.2 产品检测
绿盟科技远程安全评估系统(RSAS)与WEB应用漏洞扫描系统(WVSS)已具备对此漏洞(CVE-2020-5902)的扫描与检测能力,请有部署以上设备的用户升级至最新版本。
升级包版本号 | 升级包下载链接 | |
---|---|---|
RSAS V6 系统插件包 | V6.0R02F01.1902 | http://update.nsfocus.com/update/downloads/id/106313 |
RSAS V6 Web插件包 | V6.0R02F00.1801 | http://update.nsfocus.com/update/downloads/id/106314 |
WVSS 6.0插件升级包 | V6.0R03F00.167 | http://update.nsfocus.com/update/downloads/id/106312 |
关于RSAS的升级配置指导,请参考如下链接:
https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg
4漏洞防护
4.1 官方升级
目前F5官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://support.f5.com/csp/article/K9502
升级指南与注意事项请参阅https://support.f5.com/csp/article/K13123
4.2 临时防护措施
若相关用户暂时无法进行升级操作,可采用以下措施进行缓解。
一:为防止未经身份验证的攻击者利用此漏洞,可将LocationMatch配置元素添加到httpd(此措施可以使用命令行在本地执行,也可通过iControl REST界面远程执行)。操作步骤如下:
1. 使用以下命令登录到TMOS Shell(tmsh):
tmsh |
---|
2.通过以下命令修改httpd配置文件:
edit /sys httpd all-properties |
---|
3.将文件中的<include>部分修改为下列内容:
include '<LocationMatch ";">Redirect 404 /</LocationMatch><LocationMatch "hsqldb">Redirect 404 /</LocationMatch>' |
---|
4. 按Esc键并输入以下命令,保存对配置文件的修改:
:wq! |
---|
5. 输入以下命令保存配置:
save /sys config |
---|
6.通过以下命令重启httpd服务使配置文件生效:
restart sys service httpd |
---|
二:建议用户禁止外部IP对TMUI的访问,或只允许管理人员在安全网络环境下访问。
注:采用方法一、二无法完全防护此漏洞,仍有可能被可访问TMUI并经过身份验证的用户利用。
三:可通过Self IPs策略阻止对BIG-IP系统TMUI的所有访问。操作方式:
将系统中每个Self IPs的“Port Lockdown”设置更改为“Allow None”。 如果必须开放端口,则可选择使用“Allow Custom”,但需要设置禁止访问TMUI的端口。
注:方法三可以防止通过Self IP对TMUI/Configuration实用程序进行访问,但这些策略还可能会影响到其他服务。
验证方法如下
用户可通过访问以下URL来验证缓解措施是否有效:
https://[IP ADDRESS]/tmui/login.jsp/..;/login.jsp
https://[IP ADDRESS]/hsqldb
在缓解措施应用成功后将收到404响应。
4.3 产品防护
针对此漏洞,绿盟科技Web应用防护系统(WAF)现有规则(编号27526188)已可进行防护,请相关用户及时升级规则,以形成安全产品防护能力。安全防护产品规则版本号如下:
升级包版本号 | 升级包下载链接 | |
---|---|---|
WAF规则6.0.4.0升级包 | 6.0.4.1.45556 | http://update.nsfocus.com/update/downloads/id/106064 |
WAF规则6.0.7.0升级包 | 6.0.7.0.45556 | http://update.nsfocus.com/update/downloads/id/106063 |
WAF规则6.0.7.1升级包 | 6.0.7.1.45556 | http://update.nsfocus.com/update/downloads/id/106061 |
产品规则升级的操作步骤可参阅链接:
https://mp.weixin.qq.com/s/oubjPqR4DURWPvrQ9W9mWA
END