速修复!严重的F5 BIG-IP 漏洞 PoC 已发布

最新推荐文章于 2022-05-18 17:21:10 发布
最新推荐文章于 2022-05-18 17:21:10 发布
阅读量1.8k 收藏
点赞数
原文链接:https://www.codesafe.cn/#/home
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

就在 F5 Networks公司发布严重的 BIG-UP 漏洞的两天后,安全研究人员已经开始公布 PoC exploit,说明利用这些设备有多容易。


CVE-2020-5902

上周五,F5 公司披露称已发布补丁,修复一个严重的漏洞 CVE-2020-5902,它的 CVSSv3评分为10分。

该漏洞针对的是 BIG-IP,它是 F5 公司制造的一款多功能网络设备。BIG-IP 设备经配置后可作为流量控制系统、负载平衡器、防火墙、访问网关、速率限制器或 SSL 中间件。这些设备是当前最流行的一些网络产品,可用于增强某些最大的且敏感的网络。

BIG-UP 设备和解决方案的F5 客户包括政府部门、财富500强企业、银行、互联网服务提供商和很多消费者品牌如微软、Oracle 和 Facebook。这些设备非常流行且强大,F5在网站上称48个财富50强公司依赖于 BIG-IP 系统。

该漏洞可导致远程攻击者在无需认证身份的情况下访问 BIG-UP 应用交付控制器 (ADC) 的流量管理用户接口 (TMUI)并执行远程代码。

利用 BIG-IP 设备可导致攻击者获得系统的完全访问权限、导出用户凭据并可能遍历设备的内部网络。

F5 发布安全公告指出,“该漏洞可导致未认证的攻击者或具有 TMUI 网络访问权限的认证用户通过 BIG-UP 管理端口和/或 Self IP,执行任意系统命令,创建或删除文件、禁用服务,以及/或执行任意 Java 代码。该漏洞可导致系统遭完全攻陷。 Appliance 模式下的 BIG-IP 系统也易受攻击。数据面板不受影响,只有控制面板受影响。”

鉴于该漏洞非常严重,因此美国网络司令部发布警告,强烈建议用户立即安装更新。


CVE-2020-5903

除此之外,Klyuchnikov 还在 BIG-IP 配置接口中发现了一个 XSS 漏洞 (CVE-2020-5903),它的 CVSS 评分为7.5分。该漏洞可导致远程攻击者以登录的管理员用户身份运行恶意的 JavaScript 代码。

他指出,“如果用户具有管理员权限并能够访问 Advanced Shell (bash),那么成功利用该漏洞可导致经由 RCE 完全攻陷 BIG-IP。”


影响版本

如果你的网络正在使用 F5 BIG-IP 设备,必须马上修复。

易受影响的 BIG-IP 设备版本是11.6.x、12.1.x、13.1.x、14.1.x、15.0.x 和 15.1.x,用户应升级至已打补丁的版本 11.6.5.2、12.1.5.2、13.1.3.4、14.1.2.6 和15.1.0.4。

建议云市场(如 AWS、Azure、GCP和阿里巴巴)用户切换至 BIG-IP 虚拟版本 (VE) 11.6.5.2、12.1.5.2、13.1.3.4、14.1.2.6、15.0.1.4或15.1.0.4。


PoC 已发布,已遭利用

今天,多名安全研究员开始公开发布 F5 BIG-IP 漏洞的 exploit,以此说明在易受攻击设备上提取数据并执行命令有多容易。

另外一名研究员已经创建了一个 GitHub 仓库,列出可执行多种任务的 PoC,如展示 /et/passwd 文件以访问存储的凭据或查看设备的配置文件。

NCC Group 公司的研究员 Rich Warren 已开始查看试图利用 F5 BIG-IP 设备的远程攻击活动。Warren 指出,“该漏洞可使攻击者使用一个遍历序列启动 .JSP 文件,从而导致攻击者滥用经认证的 .JSP 文件功能执行一系列动作如读取文件或执行代码等。目前,我们发现一名攻击者读取蜜罐中的多个文件并通过一个内置的 .JSP 文件执行命令。借此,他们可窃取加密的管理员密码、设置等。”


下一个是谁?

该 BIG-IP 漏洞是国家黑客组织和勒索软件组织近一年来正在利用的漏洞类型。

自今年8月起,黑客组织就一直在利用 Pulse Secure VPN 和 Citrix 网关中的类似 RCE 漏洞,从而在企业网络中站稳脚跟,之后植入后门、窃取敏感文件或安装勒索软件。

Pulse Secure 和 Citrix 漏洞已成为勒索组织的牟利来源。在很多情况下,他们并未立即利用这些漏洞,而是首先植入后门,并在数天、数周或数月之后变现其访问权限。

勒索软件团伙如 REvil、Maze或 Netwalker 严重依赖于这些漏洞攻击全球最大的公司,而安全专家表示 BIG-IP 漏洞即是驱动下一轮攻击潮的漏洞类型。

毋庸置疑,APT组织、国家黑客和勒索软件操纵者将要,或者已经利用这些漏洞尝试并攻陷用户网络。速修复!

 

推荐阅读

SMBGhost 漏洞 CVE-2020-0796 的PoC 已发布,攻击现身

谷歌三星安卓摄像头应用含高危漏洞变身监控器,影响数亿设备(PoC)

原文链接

https://www.bleepingcomputer.com/news/security/poc-exploits-released-for-f5-big-ip-vulnerabilities-patch-now/

https://www.zdnet.com/article/hackers-are-trying-to-steal-admin-passwords-from-f5-big-ip-devices/

https://thehackernews.com/2020/07/f5-big-ip-application-security.html

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    点个 “在看” ,加油鸭~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
F5 BIG-IP远程代码执行漏洞(CVE-2020-5902)POC
战神/calmness的博客
07-09 946
https://downloads.f5.com/trial/
F5 BIGip 负载均衡 IP算法解密工具
jast
08-05 1596
BIGip是对负载均衡的实现,主要通过Virtual Server、iRules、Pool、Node、Monitor和Persistent(会话保持)实现。BIGip在实现会话保持机制时会在用户首次发起请求时,会为用户设置一个cookie,即服务端会添加set-cookie响应头头(比如:Set-Cookie: BIGipServerFinanceAndAdminWebfo.unc.edu=110536896.20480.0000 )。后续的请求会判断并使用这个cookie值,服务端解码该cookie并使用
F5 BIG-IP远程代码执行漏洞复现(CVE-2020-5902)
锋刃科技的博客
07-06 2030
前言 F5 BIG-IP 是美国F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。 影响版本 BIG-IP 15.x: 15.1.0/15.0.0 BIG-IP 14.x: 14.1.0 ~ 14.1.2 BIG-IP 13.x: 13.1.0 ~ 13.1.3 BIG-IP 12.x: 12.1.0 ~ 12.1.5 BIG-IP 11.x: 11.6.1 ~ 11.6.5 环境搭建 在下面页面登录注册,之后申请秘钥 http
java获取f5服务器真实ip_通过F5获取服务器真实内网IP
weixin_33603316的博客
02-16 1236
渗透测试过程中,经常会遇到目标服务器使用F5LTM做负载均衡。 如果能获取到目标服务器的真实IP地址,会给后续渗透带来一定便利。本文既是最近渗透遇到的一点点经验分享。F5修改cookie机制F5 LTM做负载均衡时,有多种机制实现会话保持。 其中用到很多的一种是通过修改cookie来实现的。具体说来,F5在获取到客户端第一次请求时,会使用set cookie头,给客户端埋入一个特定的cookie...
F5公司BIG-IP代码执行漏洞 CVE-2020-5902
huanxiaoji1726的博客
07-06 3360
CVE-2020-5902 漏洞 漏洞描述 F5 BIG-IP 是美国F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。在 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/配置实用程序的特定页面中存在一处远程代码执行漏洞。未授权的远程攻击者通过向该页面发送特制的请求包,可以造成任意Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。 代码执行: curl -
F5紧急修复严重BIG-IP 预认证 RCE 漏洞
smellycat000的专栏
03-11 796
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队全球顶级企业网络设备巨头 F5 Networks 发现影响多数 BIG-IPBIG-IP软件版本的四个严重的远程代码执行...
fof:Filet-O-Firewall漏洞PoC
05-11
Filet-O-Firewall漏洞PoC 这是利用Filet-O-Firewall漏洞的概念验证代码。 CERT VU#361684 目前正在清理代码以使其更易于消化,但目前正在运行。 最好的PoC浏览器是Firefox,它可以在99%的时间内运行。 ...
apache stucts 2远程命令执行漏洞 (CVE-2021-31805) poc检测工具
04-21
检测一个url命令为 python3 CVE-2022-22954-POC.py -u http://test.com 检测多个url命令为 python3 CVE-2022-22954-POC.py -f file.txt(把url按一行一个保存到file.txt中) 结果有可能如下
禅道项目管理系统身份认证绕过漏洞(QVD-2024-15263)POC
最新发布
05-10
禅道身份认证POC测试payload
CVE-2020-5902:F5 BIG-IP TMUI远程代码执行漏洞复现
Jietewang的博客
11-23 1276
BIG-IPF5公司制造的一款多功能网络设备,设备经配置后可作为流量控制系统、负载平衡器、防火墙、访问网关、率限制器或SSL中间件。基础信息FOFA指纹:title=”BIG-IP®-Redirect”下载地址:https://downloads.f5.com/esd/eula.sv?
F5 BIG-IP 远程代码执行漏洞(CVE-2020-5902) 附 shodan语法
scrooge51的博客
07-07 1119
漏洞原理 未授权的远程攻击者通过向漏洞页面发送特制的请求包,可以造成任意 Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。该漏洞影响控制面板受影响,不影响数据面板。 影响版本 BIG-IP 15.x: 15.1.0/15.0.0 BIG-IP 14.x: 14.1.0 ~ 14.1.2 BIG-IP 13.x: 13.1.0 ~ 13.1.3 BIG-IP 12.x: 12.1.0 ~ 12.1.5 BIG-IP 11
Story of a PoC - F5 BIG-IP Cookie Information Disclosure
cnbird's blog
07-15 2490
http://www.garage4hackers.com/f10/story-poc-f5-big-ip-cookie-information-disclosure-281.html Curiosity is the biggest virtue of a hacker’s mindset. Only because curiosity people like me loose focus o
F5 BIG-IP 远程代码执行漏洞 CVE-2021-22986 虚拟机上复现
qq_37200100的博客
06-16 1947
F5 BIG-IP 远程代码执行漏洞 CVE-2021-22986 虚拟机上复现 一、在vmware上安装BIGIP-15.1.0 进入F5官方主页:https://support.f5.com/csp/home 点击下载按钮(如下图所示) 进入页面后,我们选择v15.X版本 选择15.1.0长期维护版本 在这里,我们选择虚拟化版本 点击我接受按钮 选择第一个下载 下载完成之后,我们将下载下来的ova文件拖动到虚拟机当中,即可完成虚拟机的安装 二、BIGIP虚拟机的初始使用 虚拟机登陆 虚拟机
F5漏洞问题解决方案
净慧的博客
02-06 2507
1、检测到目标URL存在http host头攻击漏洞 整改说明:在F5 web服务器中配置host请求IP白名单,不在白名单内则禁止访问。 如图: 2、点击劫持:X-Frame-Options未配置 整改说明:在F5 web服务器上新增请求响应配置。 如图: 3、检测到目标URL启用了不安全的HTTP方法 整改说明:在F5 服务器中新增配置,只允许配置的请求方法。 如图:(注意:根据具体情况配...
F5 BIG-IP iControl REST命令执行(CVE-2022-1388)
m0_46377671的博客
05-18 4595
漏洞概述 2022年5月6日,F5官方发布BIG-IP iControl REST的风险通告,漏洞编号为CVE-2022-1388,漏洞等级为严重F5 BIG-IP是美国F5公司的一款集成了网络流量、应用程序安全管理、负载均衡等功能的应用交付平台。iControl REST是iControl框架的演变,使用REpresentational State Transfer。这允许用户或脚本与设备之间进行轻量级、快的交互。 组件:F5 BIG-IP iControl REST 漏洞类型:身份验证绕过 影响:
F5 BIG-IP远程代码执行漏洞(CVE-2021-22986)
thelostworld
03-20 3598
F5 BIG-IP远程代码执行漏洞(CVE-2021-22986) 一、简介 该漏洞允许未经身份验证的攻击者通过BIG-IP管理界面和自身IP地址对iControl REST接口进行网络访问,以执行任意系统命令,创建或删除文件以及禁用服务。 ​ 二、影响版本 F5 BIG-IP 16.x: 16.1.0.3 F5 BIG-IP 15.x: 15.1.0.4 F5 BIG-IP 14.x: 14.1.2.6 F5 BIG-IP 13.x: 13.1.3.4 F5 BIG-IP 12.x:..
F5 BIG-IP远程代码执行漏洞
问题很多的小明
07-09 1815
F5 RCE和Getshell 漏洞分析以及复现 0x01 漏洞概述 在 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/配置实用程序的特定页面中存在一处远程代码执行漏洞。 未授权的远程攻击者通过向该页面发送特制的请求包,可以造成任意Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。 影响范围 BIG-IP 15.x: 15.1.0/15.0.0 BIG-IP 14.x: 14.1.0 ~ 14.1
CVE-2021-32919的漏洞POC
05-31
出于安全考虑,我不能提供CVE-2021-32919漏洞POC。该漏洞可以导致未授权访问,攻击者可以通过构造特定的请求来绕过身份验证并获取管理员权限,从而对容器和主机进行任意操作。如果您是Portainer的管理员,建议尽快升级到最新版本以修复漏洞,并加强Web应用程序的安全配置,限制对Portainer的访问权限,以及定期更新和维护Portainer的版本,以避免安全风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值