F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。2020 年7 月 1日,F5 公布流量管理用户界面(TMUI),也称为配置实用程序,在未公开的页面中具有远程执行代码(RCE)漏洞,漏洞编号为 CVE-2020-5902。
攻击者可利用该漏洞执行任意的系统命令、创建或删除文件,关闭服务/执行任意的Java代码,可能完全入侵系统,对此漏洞 CVSS 评分 10 分。
CVE 编号
CVE-2020-5902
影响范围
- BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) = 15.1.0
- BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) = 15.0.0
- BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 14.1.0 - 14.1.2
- BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 13.1.0 - 13.1.3
- BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 12.1.0 - 12.1.5
- BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 11.6.1 - 11.6.5
根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="F5-BIGIP")共有 1,426,205 个相关服务对外开放。美国使用数量最多,共有 787,162 个;英国第二,共有 60,700 个;德国第三,共有 54,649 个;加拿大第四,共有 41,196 个;澳大利亚第五,共有 40,901 个。
全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)
中国大陆地区浙江使用数量最多,共有 5,554 个;广东第二,共有 4,106 个;北京第三,共有 3,957 个;上海第四,共有 2,990 个;天津第五,共有 1,713 个。
修复建议
- 登陆 TMOS Shell(tmsh)执行:
tmsh
2. 修改 httpd 配置信息:
edit /sys httpd all-properties
3. 找到 include 部分并添加以下内容:
include '
<LocationMatch ".*\.\.;.*">
Redirect 404 /
</LocationMatch>
'
4. 通过输入以下命令,将更改写入并保存到配置文件中:
Esc
:wq!
5. 通过输入以下命令来保存配置:
save /sys config
6. 通过输入以下命令来重新启动httpd服务:
restart sys service httpd
也可以通过升级的方式来进行修复:
BIG-IP 15.x 升级至 15.1.0.4
BIG-IP 14.x 升级至 14.1.2.6
BIG-IP 13.x 升级至 13.1.3.4
- BIG-IP 12.x 升级至 12.1.5.2
- BIG-IP 11.x 升级至 11.6.5.2
参考
[1] https://support.f5.com/csp/article/K52145254
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。