【安全通报】F5 BIG-IP 远程代码执行漏洞

0nise  149天前

1.png

F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。2020 年7 月 1日,F5 公布流量管理用户界面(TMUI),也称为配置实用程序,在未公开的页面中具有远程执行代码(RCE)漏洞,漏洞编号为 CVE-2020-5902。

攻击者可利用该漏洞执行任意的系统命令、创建或删除文件,关闭服务/执行任意的Java代码,可能完全入侵系统,对此漏洞 CVSS 评分 10 分。

CVE 编号

CVE-2020-5902

影响范围

  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) = 15.1.0
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) = 15.0.0
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 14.1.0 - 14.1.2
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 13.1.0 - 13.1.3
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 12.1.0 - 12.1.5
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 11.6.1 - 11.6.5

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="F5-BIGIP")共有 1,426,205 个相关服务对外开放。美国使用数量最多,共有 787,162 个;英国第二,共有 60,700 个;德国第三,共有 54,649 个;加拿大第四,共有 41,196 个;澳大利亚第五,共有 40,901 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

2.png

中国大陆地区浙江使用数量最多,共有 5,554 个;广东第二,共有 4,106 个;北京第三,共有 3,957 个;上海第四,共有 2,990 个;天津第五,共有 1,713 个。

3.png

修复建议

  1. 登陆 TMOS Shell(tmsh)执行:

tmsh

     2. 修改 httpd 配置信息:

edit /sys httpd all-properties

     3. 找到 include 部分并添加以下内容:

include '
<LocationMatch ".*\.\.;.*">
Redirect 404 /
</LocationMatch>
'

     4. 通过输入以下命令,将更改写入并保存到配置文件中:

Esc
:wq!

     5. 通过输入以下命令来保存配置:

save /sys config

     6. 通过输入以下命令来重新启动httpd服务:

restart sys service httpd

也可以通过升级的方式来进行修复:

  • BIG-IP 15.x 升级至 15.1.0.4

  • BIG-IP 14.x 升级至 14.1.2.6

  • BIG-IP 13.x 升级至 13.1.3.4

  • BIG-IP 12.x 升级至 12.1.5.2
  • BIG-IP 11.x 升级至 11.6.5.2

参考

[1] https://support.f5.com/csp/article/K52145254

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论