Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:12963 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
本周热门文章
红队渗透手册之弹药篇   2020.08.08 17:12:23  288
Chrome浏览器的实用插件推荐   2020.08.04 20:01:02  99
记录一次“梅花三弄”的渗透之旅   2020.08.03 20:00:35  77
用这个网站一查,才知道自己被卖了   2020.08.04 20:06:35  72
WMCTF-WriteUp   2020.08.06 08:00:37  65
每日攻防资讯简报[Aug.3th]   2020.08.03 20:00:04  55
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
【漏洞通告】F5 BIG-IP TMUI 远程代码执行漏洞(CVE-2020-5902)...
本文来自公众号:绿盟科技安全预警   2020.07.06 16:20:49



通告编号:NS-2020-0040

2020-07-06
TA G: F5、TMUI、CVE-2020-5902、EXP披露
漏洞危害: 高,攻击者利用此漏洞,可实现远程代码执行。
应急等级:
黄色
版本: 1.0

1

漏洞概述


近日,F5官方发布公告修复了一个存在于流量管理用户界面(TMUI)的远程代码执行漏洞(CVE-2020-5902)。未经身份验证的攻击者通过BIG-IP管理端口或自身IP访问TMUI,可构造恶意请求以获取目标服务器权限,CVSS评分为10分。绿盟科技监测到网络上已有EXP披露,并且目前已有利用该漏洞的攻击行为出现,建议相关用户尽快采取措施防护。

F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。

绿盟科技烈鹰战队第一时间复现了此漏洞:


参考链接:

https://support.f5.com/csp/article/K52145254

SEE MORE →


2 影响范围

受影响版本

  • F5 BIG-IP 15.x:15.1.0、15.0.0

  • F5 BIG-IP 14.x:14.1.0 - 14.1.2

  • F5 BIG-IP 13.x:13.1.0 - 13.1.3

  • F5 BIG-IP 12.x:12.1.0 - 12.1.5

  • F5 BIG-IP 11.x:11.6.1 - 11.6.5


不受影响版本

  • F5 BIG-IP 15.x:15.1.0.4

  • F5 BIG-IP 14.x:14.1.2.6

  • F5 BIG-IP 13.x:13.1.3.4

  • F5 BIG-IP 12.x:12.1.5.2

  • F5 BIG-IP 11.x:11.6.5.2


3 漏洞检测

3.1 版本检测

一、用户可通过在 TMOS shell(tmsh)中输入以下命令,查看当前使用的版本:

show /sys version

二、用户也可登录Web管理界面查看当前BIG-IP的版本:

若版本在受影响范围内即存在安全风险。


3.2 产品检测

绿盟科技远程安全评估系统(RSAS)与WEB应用漏洞扫描系统(WVSS)已具备对此漏洞(CVE-2020-5902)的扫描与检测能力,请有部署以上设备的用户升级至最新版本。


升级包版本号

升级包下载链接

RSAS V6 系统插件包

V6.0R02F01.1902

http://update.nsfocus.com/update/downloads/id/106313

RSAS V6 Web 插件包

V6.0R02F00.1801

http://update.nsfocus.com/update/downloads/id/106314

WVSS 6.0 插件升级包

V6.0R03F00.167

http://update.nsfocus.com/update/downloads/id/106312

关于RSAS的升级配置指导,请参考如下链接:

https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg


4 漏洞防护

4.1  官方升级

目前F5官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://support.f5.com/csp/article/K9502

升级指南与注意事项请参阅https://support.f5.com/csp/article/K13123


4.2 临时防护措施

若相关用户暂时无法进行升级操作,可采用以下措施进行缓解。

一:为防止未经身份验证的攻击者利用此漏洞,可将LocationMatch配置元素添加到httpd。操作步骤如下:

1. 使用以下命令登录到TMOS Shell(tmsh):

tmsh

2.通过以下命令修改httpd配置文件:

edit /sys httpd all-properties

3.将文件中的<include>部分修改为下列内容:

include '

<LocationMatch ".*\.\.;.*">

Redirect 404 /

</LocationMatch>

'

4. 按Esc键并输入以下命令,保存对配置文件的修改:

:wq!

5. 输入以下命令保存配置:

save /sys config

6.通过以下命令重启httpd服务使配置文件生效:

restart sys service httpd


二:建议用户禁止外部IP对TMUI的访问,或只允许管理人员在安全网络环境下访问。


注: 采用方法一和二无法完全防护此漏洞,仍有可能被可访问TMUI并经过身份验证的用户利用。


三: 可通过Self IPs策略阻止对BIG-IP系统TMUI的所有访问。操作方式:

将系统中每个Self IPs的“Port Lockdown”设置更改为“Allow None”。 如果必须开放端口,则可选择使用“Allow Custom”,但需要设置禁止访问TMUI的端口。

注: 方法三可以防止通过Self IP对TMUI/Configuration实用程序进行访问,但这些策略还可能会影响到其他服务。


4.3 产品防护

针对此漏洞,绿盟科技Web应用防护系统(WAF)现有规则(编号27526188)已可进行防护,请相关用户及时升级规则,以形成安全产品防护能力。安全防护产品规则版本号如下:


升级包版本号

升级包下载链接

WAF 规则6.0.4.0升级包

6.0.4.1.45556

http://update.nsfocus.com/update/downloads/id/106064

WAF 规则 6.0.7.0 升级包

6.0.7.0.45556

http://update.nsfocus.com/update/downloads/id/106063

WAF 规则6.0.7.1 升级包

6.0.7.1.45556

http://update.nsfocus.com/update/downloads/id/106061

产品规则升级的操作步骤可参阅链接:

https://mp.weixin.qq.com/s/oubjPqR4DURWPvrQ9W9mWA



END

作者:绿盟科技威胁对抗能力部

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

绿盟科技安全情报 微信公众号
长按识别二维码,关注网络安全威胁信息