速修复!严重的F5 BIG-IP 漏洞 PoC 已发布

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

就在 F5 Networks公司发布严重的 BIG-UP 漏洞的两天后,安全研究人员已经开始公布 PoC exploit,说明利用这些设备有多容易。


CVE-2020-5902

上周五,F5 公司披露称已发布补丁,修复一个严重的漏洞 CVE-2020-5902,它的 CVSSv3评分为10分。

该漏洞针对的是 BIG-IP,它是 F5 公司制造的一款多功能网络设备。BIG-IP 设备经配置后可作为流量控制系统、负载平衡器、防火墙、访问网关、速率限制器或 SSL 中间件。这些设备是当前最流行的一些网络产品,可用于增强某些最大的且敏感的网络。

BIG-UP 设备和解决方案的F5 客户包括政府部门、财富500强企业、银行、互联网服务提供商和很多消费者品牌如微软、Oracle 和 Facebook。这些设备非常流行且强大,F5在网站上称48个财富50强公司依赖于 BIG-IP 系统。

该漏洞可导致远程攻击者在无需认证身份的情况下访问 BIG-UP 应用交付控制器 (ADC) 的流量管理用户接口 (TMUI)并执行远程代码。

利用 BIG-IP 设备可导致攻击者获得系统的完全访问权限、导出用户凭据并可能遍历设备的内部网络。

F5 发布安全公告指出,“该漏洞可导致未认证的攻击者或具有 TMUI 网络访问权限的认证用户通过 BIG-UP 管理端口和/或 Self IP,执行任意系统命令,创建或删除文件、禁用服务,以及/或执行任意 Java 代码。该漏洞可导致系统遭完全攻陷。 Appliance 模式下的 BIG-IP 系统也易受攻击。数据面板不受影响,只有控制面板受影响。”

鉴于该漏洞非常严重,因此美国网络司令部发布警告,强烈建议用户立即安装更新。


CVE-2020-5903

除此之外,Klyuchnikov 还在 BIG-IP 配置接口中发现了一个 XSS 漏洞 (CVE-2020-5903),它的 CVSS 评分为7.5分。该漏洞可导致远程攻击者以登录的管理员用户身份运行恶意的 JavaScript 代码。

他指出,“如果用户具有管理员权限并能够访问 Advanced Shell (bash),那么成功利用该漏洞可导致经由 RCE 完全攻陷 BIG-IP。”


影响版本

如果你的网络正在使用 F5 BIG-IP 设备,必须马上修复。

易受影响的 BIG-IP 设备版本是11.6.x、12.1.x、13.1.x、14.1.x、15.0.x 和 15.1.x,用户应升级至已打补丁的版本 11.6.5.2、12.1.5.2、13.1.3.4、14.1.2.6 和15.1.0.4。

建议云市场(如 AWS、Azure、GCP和阿里巴巴)用户切换至 BIG-IP 虚拟版本 (VE) 11.6.5.2、12.1.5.2、13.1.3.4、14.1.2.6、15.0.1.4或15.1.0.4。


PoC 已发布,已遭利用

今天,多名安全研究员开始公开发布 F5 BIG-IP 漏洞的 exploit,以此说明在易受攻击设备上提取数据并执行命令有多容易。

另外一名研究员已经创建了一个 GitHub 仓库,列出可执行多种任务的 PoC,如展示 /et/passwd 文件以访问存储的凭据或查看设备的配置文件。

NCC Group 公司的研究员 Rich Warren 已开始查看试图利用 F5 BIG-IP 设备的远程攻击活动。Warren 指出,“该漏洞可使攻击者使用一个遍历序列启动 .JSP 文件,从而导致攻击者滥用经认证的 .JSP 文件功能执行一系列动作如读取文件或执行代码等。目前,我们发现一名攻击者读取蜜罐中的多个文件并通过一个内置的 .JSP 文件执行命令。借此,他们可窃取加密的管理员密码、设置等。”


下一个是谁?

该 BIG-IP 漏洞是国家黑客组织和勒索软件组织近一年来正在利用的漏洞类型。

自今年8月起,黑客组织就一直在利用 Pulse Secure VPN 和 Citrix 网关中的类似 RCE 漏洞,从而在企业网络中站稳脚跟,之后植入后门、窃取敏感文件或安装勒索软件。

Pulse Secure 和 Citrix 漏洞已成为勒索组织的牟利来源。在很多情况下,他们并未立即利用这些漏洞,而是首先植入后门,并在数天、数周或数月之后变现其访问权限。

勒索软件团伙如 REvil、Maze或 Netwalker 严重依赖于这些漏洞攻击全球最大的公司,而安全专家表示 BIG-IP 漏洞即是驱动下一轮攻击潮的漏洞类型。

毋庸置疑,APT组织、国家黑客和勒索软件操纵者将要,或者已经利用这些漏洞尝试并攻陷用户网络。速修复!

 

推荐阅读

SMBGhost 漏洞 CVE-2020-0796 的PoC 已发布,攻击现身

谷歌三星安卓摄像头应用含高危漏洞变身监控器,影响数亿设备(PoC)

原文链接

https://www.bleepingcomputer.com/news/security/poc-exploits-released-for-f5-big-ip-vulnerabilities-patch-now/

https://www.zdnet.com/article/hackers-are-trying-to-steal-admin-passwords-from-f5-big-ip-devices/

https://thehackernews.com/2020/07/f5-big-ip-application-security.html

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    点个 “在看” ,加油鸭~

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值