【漏洞通告】F5 BIG-IP TMUI 远程代码执行漏洞(CVE-2020-5902)通告

2020-07-07 11:14:59 浏览数 (1)

通告编号:NS-2020-0040

2020-07-06

TAG:

F5、TMUI、CVE-2020-5902、EXP披露

漏洞危害:

高,攻击者利用此漏洞,可实现远程代码执行。

应急等级:

黄色

版本:

1.0

1

漏洞概述

近日,F5官方发布公告修复了一个存在于流量管理用户界面(TMUI)的远程代码执行漏洞(CVE-2020-5902)。未经身份验证的攻击者通过BIG-IP管理端口或自身IP访问TMUI,可构造恶意请求以获取目标服务器权限,CVSS评分为10分。绿盟科技监测到网络上已有EXP披露,并且目前已有利用该漏洞的攻击行为出现,建议相关用户尽快采取措施防护。

F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。

绿盟科技烈鹰战队第一时间复现了此漏洞:

参考链接:

https://support.f5.com/csp/article/K52145254

SEE MORE →

2影响范围

受影响版本

  • F5 BIG-IP 15.x:15.1.0、15.0.0
  • F5 BIG-IP 14.x:14.1.0 - 14.1.2
  • F5 BIG-IP 13.x:13.1.0 - 13.1.3
  • F5 BIG-IP 12.x:12.1.0 - 12.1.5
  • F5 BIG-IP 11.x:11.6.1 - 11.6.5

不受影响版本

  • F5 BIG-IP 15.x:15.1.0.4
  • F5 BIG-IP 14.x:14.1.2.6
  • F5 BIG-IP 13.x:13.1.3.4
  • F5 BIG-IP 12.x:12.1.5.2
  • F5 BIG-IP 11.x:11.6.5.2

3漏洞检测

3.1 版本检测

一、用户可通过在TMOS shell(tmsh)中输入以下命令,查看当前使用的版本:

show /sys version

二、用户也可登录Web管理界面查看当前BIG-IP的版本:

若版本在受影响范围内即存在安全风险。

3.2 产品检测

绿盟科技远程安全评估系统(RSAS)与WEB应用漏洞扫描系统(WVSS)已具备对此漏洞(CVE-2020-5902)的扫描与检测能力,请有部署以上设备的用户升级至最新版本。

升级包版本号

升级包下载链接

RSAS V6 系统插件包

V6.0R02F01.1902

http://update.nsfocus.com/update/downloads/id/106313

RSAS V6 Web插件包

V6.0R02F00.1801

http://update.nsfocus.com/update/downloads/id/106314

WVSS 6.0插件升级包

V6.0R03F00.167

http://update.nsfocus.com/update/downloads/id/106312

关于RSAS的升级配置指导,请参考如下链接:

https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg

4漏洞防护

4.1 官方升级

目前F5官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://support.f5.com/csp/article/K9502

升级指南与注意事项请参阅https://support.f5.com/csp/article/K13123

4.2 临时防护措施

若相关用户暂时无法进行升级操作,可采用以下措施进行缓解。

一:为防止未经身份验证的攻击者利用此漏洞,可将LocationMatch配置元素添加到httpd。操作步骤如下:

1. 使用以下命令登录到TMOS Shell(tmsh):

代码语言:javascript复制
tmsh

2.通过以下命令修改httpd配置文件:

代码语言:javascript复制
edit /sys httpd all-properties

3.将文件中的<include>部分修改为下列内容:

代码语言:javascript复制
include '

<LocationMatch ".*..;.*">

Redirect 404 /

</LocationMatch>

'

4. 按Esc键并输入以下命令,保存对配置文件的修改:

代码语言:javascript复制
:wq!

5. 输入以下命令保存配置:

代码语言:javascript复制
save /sys config

6.通过以下命令重启httpd服务使配置文件生效:

代码语言:javascript复制
restart sys service httpd

二:建议用户禁止外部IP对TMUI的访问,或只允许管理人员在安全网络环境下访问。

注:采用方法一和二无法完全防护此漏洞,仍有可能被可访问TMUI并经过身份验证的用户利用。

三:可通过Self IPs策略阻止对BIG-IP系统TMUI的所有访问。操作方式:

将系统中每个Self IPs的“Port Lockdown”设置更改为“Allow None”。 如果必须开放端口,则可选择使用“Allow Custom”,但需要设置禁止访问TMUI的端口。

注:方法三可以防止通过Self IP对TMUI/Configuration实用程序进行访问,但这些策略还可能会影响到其他服务。

4.3 产品防护

针对此漏洞,绿盟科技Web应用防护系统(WAF)现有规则(编号27526188)已可进行防护,请相关用户及时升级规则,以形成安全产品防护能力。安全防护产品规则版本号如下:

升级包版本号

升级包下载链接

WAF规则6.0.4.0升级包

6.0.4.1.45556

http://update.nsfocus.com/update/downloads/id/106064

WAF规则6.0.7.0升级包

6.0.7.0.45556

http://update.nsfocus.com/update/downloads/id/106063

WAF规则6.0.7.1升级包

6.0.7.1.45556

http://update.nsfocus.com/update/downloads/id/106061

产品规则升级的操作步骤可参阅链接:

https://mp.weixin.qq.com/s/oubjPqR4DURWPvrQ9W9mWA

END

作者:绿盟科技威胁对抗能力部

0 人点赞