通告编号:NS-2020-0040
2020-07-06
TAG: | F5、TMUI、CVE-2020-5902、EXP披露 |
---|---|
漏洞危害: | 高,攻击者利用此漏洞,可实现远程代码执行。 |
应急等级: | 黄色 |
版本: | 1.0 |
1
漏洞概述
近日,F5官方发布公告修复了一个存在于流量管理用户界面(TMUI)的远程代码执行漏洞(CVE-2020-5902)。未经身份验证的攻击者通过BIG-IP管理端口或自身IP访问TMUI,可构造恶意请求以获取目标服务器权限,CVSS评分为10分。绿盟科技监测到网络上已有EXP披露,并且目前已有利用该漏洞的攻击行为出现,建议相关用户尽快采取措施防护。
F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。
绿盟科技烈鹰战队第一时间复现了此漏洞:
参考链接:
https://support.f5.com/csp/article/K52145254
SEE MORE →
2影响范围
受影响版本
- F5 BIG-IP 15.x:15.1.0、15.0.0
- F5 BIG-IP 14.x:14.1.0 - 14.1.2
- F5 BIG-IP 13.x:13.1.0 - 13.1.3
- F5 BIG-IP 12.x:12.1.0 - 12.1.5
- F5 BIG-IP 11.x:11.6.1 - 11.6.5
不受影响版本
- F5 BIG-IP 15.x:15.1.0.4
- F5 BIG-IP 14.x:14.1.2.6
- F5 BIG-IP 13.x:13.1.3.4
- F5 BIG-IP 12.x:12.1.5.2
- F5 BIG-IP 11.x:11.6.5.2
3漏洞检测
3.1 版本检测
一、用户可通过在TMOS shell(tmsh)中输入以下命令,查看当前使用的版本:
show /sys version |
---|
二、用户也可登录Web管理界面查看当前BIG-IP的版本:
若版本在受影响范围内即存在安全风险。
3.2 产品检测
绿盟科技远程安全评估系统(RSAS)与WEB应用漏洞扫描系统(WVSS)已具备对此漏洞(CVE-2020-5902)的扫描与检测能力,请有部署以上设备的用户升级至最新版本。
升级包版本号 | 升级包下载链接 | |
---|---|---|
RSAS V6 系统插件包 | V6.0R02F01.1902 | http://update.nsfocus.com/update/downloads/id/106313 |
RSAS V6 Web插件包 | V6.0R02F00.1801 | http://update.nsfocus.com/update/downloads/id/106314 |
WVSS 6.0插件升级包 | V6.0R03F00.167 | http://update.nsfocus.com/update/downloads/id/106312 |
关于RSAS的升级配置指导,请参考如下链接:
https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg
4漏洞防护
4.1 官方升级
目前F5官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://support.f5.com/csp/article/K9502
升级指南与注意事项请参阅https://support.f5.com/csp/article/K13123
4.2 临时防护措施
若相关用户暂时无法进行升级操作,可采用以下措施进行缓解。
一:为防止未经身份验证的攻击者利用此漏洞,可将LocationMatch配置元素添加到httpd。操作步骤如下:
1. 使用以下命令登录到TMOS Shell(tmsh):
代码语言:javascript复制tmsh
2.通过以下命令修改httpd配置文件:
代码语言:javascript复制edit /sys httpd all-properties
3.将文件中的<include>部分修改为下列内容:
代码语言:javascript复制include '
<LocationMatch ".*..;.*">
Redirect 404 /
</LocationMatch>
'
4. 按Esc键并输入以下命令,保存对配置文件的修改:
代码语言:javascript复制:wq!
5. 输入以下命令保存配置:
代码语言:javascript复制save /sys config
6.通过以下命令重启httpd服务使配置文件生效:
代码语言:javascript复制restart sys service httpd
二:建议用户禁止外部IP对TMUI的访问,或只允许管理人员在安全网络环境下访问。
注:采用方法一和二无法完全防护此漏洞,仍有可能被可访问TMUI并经过身份验证的用户利用。
三:可通过Self IPs策略阻止对BIG-IP系统TMUI的所有访问。操作方式:
将系统中每个Self IPs的“Port Lockdown”设置更改为“Allow None”。 如果必须开放端口,则可选择使用“Allow Custom”,但需要设置禁止访问TMUI的端口。
注:方法三可以防止通过Self IP对TMUI/Configuration实用程序进行访问,但这些策略还可能会影响到其他服务。
4.3 产品防护
针对此漏洞,绿盟科技Web应用防护系统(WAF)现有规则(编号27526188)已可进行防护,请相关用户及时升级规则,以形成安全产品防护能力。安全防护产品规则版本号如下:
升级包版本号 | 升级包下载链接 | |
---|---|---|
WAF规则6.0.4.0升级包 | 6.0.4.1.45556 | http://update.nsfocus.com/update/downloads/id/106064 |
WAF规则6.0.7.0升级包 | 6.0.7.0.45556 | http://update.nsfocus.com/update/downloads/id/106063 |
WAF规则6.0.7.1升级包 | 6.0.7.1.45556 | http://update.nsfocus.com/update/downloads/id/106061 |
产品规则升级的操作步骤可参阅链接:
https://mp.weixin.qq.com/s/oubjPqR4DURWPvrQ9W9mWA
END
作者:绿盟科技威胁对抗能力部