【安全通报更新】F5 BIG-IP 远程代码执行漏洞被绕过
F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。2020 年7 月 1日,F5 公布流量管理用户界面(TMUI),也称为配置实用程序,在未公开的页面中具有远程执行代码(RCE)漏洞,漏洞编号为 CVE-2020-5902。
攻击者可利用该漏洞执行任意的系统命令、创建或删除文件,关闭服务/执行任意的Java代码,可能完全入侵系统,对此漏洞 CVSS 评分 10 分。
2020 年 7 月 8 日,白帽汇安全研究院监测到 F5 官网更新了漏洞公告,使用官方提供的 httpd 配置方案仍然可能造成反序列化代码执行漏洞,因此,官方针对 LocationMatch
语句配置强化如下:
include '
<LocationMatch ".*\.\.;.*">
Redirect 404 /
</LocationMatch>
'
修改为:
include'
<LocationMatch“;”>
Redirect404 /
</ LocationMatch>
'
CVE 编号
CVE-2020-5902
影响范围
- BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) = 15.1.0
- BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) = 15.0.0
- BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 14.1.0 - 14.1.2
- BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 13.1.0 - 13.1.3
- BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 12.1.0 - 12.1.5
- BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 11.6.1 - 11.6.5
根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="F5-BIGIP")共有 1,426,205 个相关服务对外开放。美国使用数量最多,共有 787,162 个;英国第二,共有 60,700 个;德国第三,共有 54,649 个;加拿大第四,共有 41,196 个;澳大利亚第五,共有 40,901 个。
全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)
中国大陆地区浙江使用数量最多,共有 5,554 个;广东第二,共有 4,106 个;北京第三,共有 3,957 个;上海第四,共有 2,990 个;天津第五,共有 1,713 个。
修复建议
升级至以下安全版本:
BIG-IP 16.x 升级至 16.0.0
BIG-IP 15.x 升级至 15.1.0.4
BIG-IP 14.x 升级至 14.1.2.6
- BIG-IP 13.x 升级至 13.1.3.4
- BIG-IP 12.x 升级至 12.1.5.2
- BIG-IP 11.x 升级至 11.6.5.2
参考
[1] https://support.f5.com/csp/article/K52145254
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。
最新评论