【安全通报更新】F5 BIG-IP 远程代码执行漏洞被绕过

0nise  1350天前

1.png

F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。2020 年7 月 1日,F5 公布流量管理用户界面(TMUI),也称为配置实用程序,在未公开的页面中具有远程执行代码(RCE)漏洞,漏洞编号为 CVE-2020-5902。

攻击者可利用该漏洞执行任意的系统命令、创建或删除文件,关闭服务/执行任意的Java代码,可能完全入侵系统,对此漏洞 CVSS 评分 10 分。

2020 年 7 月 8 日,白帽汇安全研究院监测到 F5 官网更新了漏洞公告,使用官方提供的 httpd 配置方案仍然可能造成反序列化代码执行漏洞,因此,官方针对 LocationMatch 语句配置强化如下:

include '
<LocationMatch ".*\.\.;.*">
Redirect 404 /
</LocationMatch>
'
修改为:
include'
<LocationMatch“;”>
Redirect404 /
</ LocationMatch>
'

CVE 编号

CVE-2020-5902

影响范围

  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) = 15.1.0
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) = 15.0.0
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 14.1.0 - 14.1.2
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 13.1.0 - 13.1.3
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 12.1.0 - 12.1.5
  • BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 11.6.1 - 11.6.5

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="F5-BIGIP")共有 1,426,205 个相关服务对外开放。美国使用数量最多,共有 787,162 个;英国第二,共有 60,700 个;德国第三,共有 54,649 个;加拿大第四,共有 41,196 个;澳大利亚第五,共有 40,901 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

2.png

中国大陆地区浙江使用数量最多,共有 5,554 个;广东第二,共有 4,106 个;北京第三,共有 3,957 个;上海第四,共有 2,990 个;天津第五,共有 1,713 个。

3.png

修复建议

升级至以下安全版本:

  • BIG-IP 16.x 升级至 16.0.0

  • BIG-IP 15.x 升级至 15.1.0.4

  • BIG-IP 14.x 升级至 14.1.2.6

  • BIG-IP 13.x 升级至 13.1.3.4
  • BIG-IP 12.x 升级至 12.1.5.2
  • BIG-IP 11.x 升级至 11.6.5.2

参考

[1] https://support.f5.com/csp/article/K52145254

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论