【更新通告】F5 BIG-IP TMUI 远程代码执行漏洞(CVE-2020-5902)通告

于 2020-07-12 15:04:28 发布
阅读量913 收藏
点赞数 2
分类专栏: 新增漏洞报告
原文链接:https://mp.weixin.qq.com/s/3K9yCcklNT384rTHoQUX7A
版权

【更新通告】F5 BIG-IP TMUI 远程代码执行漏洞(CVE-2020-5902)通告

原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)😉 今天

来自专辑

历史重要漏洞通告及处置手册汇总

通告编号:NS-2020-0040-1

2020-07-12

TA****G:F5、TMUI、CVE-2020-5902、官方公告更新
漏洞危害:****攻击者利用此漏洞,可实现远程代码执行。******
版本:**1.1 **

1

漏洞概述

近日,绿盟科技监测到F5官方对流量管理用户界面(TMUI)远程代码执行漏洞(CVE-2020-5902)的安全公告进行了更新。受影响的15.x版本变更为15.0.0-15.1.0,更新了可被绕过的临时缓解措施及验证方法;未经身份验证的攻击者通过BIG-IP管理端口或自身IP访问TMUI,可构造恶意请求获取目标服务器权限,CVSS评分为10分。目前msf已经集成了该漏洞的利用,建议还未修复的用户尽快采取措施进行防护。

F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。

绿盟科技烈鹰战队第一时间复现了此漏洞:

文件读取:

img

远程代码执行:

img

参考链接:

https://support.f5.com/csp/article/K52145254

SEE MORE →

2影响范围

受影响版本

  • F5 BIG-IP 15.x:15.0.0 - 15.1.0
  • F5 BIG-IP 14.x:14.1.0 - 14.1.2
  • F5 BIG-IP 13.x:13.1.0 - 13.1.3
  • F5 BIG-IP 12.x:12.1.0 - 12.1.5
  • F5 BIG-IP 11.x:11.6.1 - 11.6.5

不受影响版本

  • F5 BIG-IP 15.x:15.1.0.4
  • F5 BIG-IP 14.x:14.1.2.6
  • F5 BIG-IP 13.x:13.1.3.4
  • F5 BIG-IP 12.x:12.1.5.2
  • F5 BIG-IP 11.x:11.6.5.2

3漏洞检测

3.1 版本检测

一、用户可通过在TMOS shell(tmsh)中输入以下命令,查看当前使用的版本:

show /sys version

img

二、用户也可登录Web管理界面查看当前BIG-IP的版本:

img

若版本在受影响范围内即存在安全风险。

3.2 产品检测

绿盟科技远程安全评估系统(RSAS)与WEB应用漏洞扫描系统(WVSS)已具备对此漏洞(CVE-2020-5902)的扫描与检测能力,请有部署以上设备的用户升级至最新版本。

升级包版本号升级包下载链接
RSAS V6 系统插件包V6.0R02F01.1902http://update.nsfocus.com/update/downloads/id/106313
RSAS V6 Web****插件包V6.0R02F00.1801http://update.nsfocus.com/update/downloads/id/106314
WVSS 6.0****插件升级包V6.0R03F00.167http://update.nsfocus.com/update/downloads/id/106312

关于RSAS的升级配置指导,请参考如下链接:

https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg

4漏洞防护

**4.1 官方升级

**

目前F5官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://support.f5.com/csp/article/K9502

升级指南与注意事项请参阅https://support.f5.com/csp/article/K13123

4.2 临时防护措施

若相关用户暂时无法进行升级操作,可采用以下措施进行缓解。

一:为防止未经身份验证的攻击者利用此漏洞,可将LocationMatch配置元素添加到httpd(此措施可以使用命令行在本地执行,也可通过iControl REST界面远程执行)。操作步骤如下:

\1. 使用以下命令登录到TMOS Shell(tmsh):

tmsh

2.通过以下命令修改httpd配置文件:

edit /sys httpd all-properties

3.将文件中的部分修改为下列内容:

include ’ <LocationMatch “;”> Redirect 404 / <LocationMatch “hsqldb”> Redirect 404 / ’

\4. 按Esc键并输入以下命令,保存对配置文件的修改:

:wq!

\5. 输入以下命令保存配置:

save /sys config

6.通过以下命令重启httpd服务使配置文件生效:

restart sys service httpd

二:建议用户禁止外部IP对TMUI的访问,或只允许管理人员在安全网络环境下访问。

**注:**采用方法一、二无法完全防护此漏洞,仍有可能被可访问TMUI并经过身份验证的用户利用。

三:可通过Self IPs策略阻止对BIG-IP系统TMUI的所有访问。操作方式:

将系统中每个Self IPs的“Port Lockdown”设置更改为“Allow None”。 如果必须开放端口,则可选择使用“Allow Custom”,但需要设置禁止访问TMUI的端口。

**注:**方法三可以防止通过Self IP对TMUI/Configuration实用程序进行访问,但这些策略还可能会影响到其他服务。

验证方法如下

用户可通过访问以下URL来验证缓解措施是否有效:

https://[IP ADDRESS]/tmui/login.jsp/…;/login.jsp

https://[IP ADDRESS]/hsqldb%0a

在缓解措施应用成功后将收到404响应。

4.3 产品防护

针对此漏洞,绿盟科技Web应用防护系统(WAF)现有规则(编号27526188)已可进行防护,请相关用户及时升级规则,以形成安全产品防护能力。安全防护产品规则版本号如下:

升级包版本号升级包下载链接
WAF****规则6.0.4.0升级包6.0.4.1.45556http://update.nsfocus.com/update/downloads/id/106064
WAF规则6.0.7.0****升级包6.0.7.0.45556http://update.nsfocus.com/update/downloads/id/106063
WAF规则6.0.7.1升级包6.0.7.1.45556http://update.nsfocus.com/update/downloads/id/106061

产品规则升级的操作步骤可参阅链接:

https://mp.weixin.qq.com/s/oubjPqR4DURWPvrQ9W9mWA

转载自https://mp.weixin.qq.com/s/3K9yCcklNT384rTHoQUX7A

admin-r꯭o꯭ot꯭
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
攻防演练案例讲溯源
07-18 4909
攻防演练的目的是什么?往小了说是为了提高员工网络安全意识,保障客户信息不外泄。往大了说是为了提升国家网络安全实力,保护公民个人信息财产安全。
博客
从CTF比赛真题中学习压缩包伪加密与图片隐写术【文中工具已打包】
03-29 6585
先讲个笑话,刚刚打完MAR DASCTF明御攻防赛,一如往常,很轻松便拿到了两个flag(签到与问卷),哈哈,一个脑细胞都不用消耗本文知识点:遇到加密压缩文件怎么办遇到图片隐写的几种验证方法十六进制数据还原文件大佬就不用看了,全是小白操作这是一道misc题,结合了压缩包伪加密与图片隐写技术,我们就以它为例学习一下这两种常见技术的解决方法就是这个压缩文件,后面带*说明需要密码,但是题中没有任何密码提示,ctf中不可能让你无脑爆破,因为时间是有限的,但也有可能是弱口令,反正无从下手先爆破一
博客
【防守方基础】危险报文识别
03-10 7359
声明:本文介绍的技术仅供网络安全技术人员及白帽子使用,任何个人或组织不可传播使用相关技术及工具从事违法犯罪行为,一经发现直接上报国家安全机关处理,著作权归爱国小白帽所有信息泄露类这种情况是最常见的,也是最难以捕获的,因为它也许不用攻击数据就能轻易获取,尤其是报错或探针页面,配置不当可能泄露很多东西别看它危害小,但往往某个不起眼的信息就可以改变战局命令执行类此类攻击多以echo、curl、wget、cd、ping、cat、ls等命令出现,还是很好辨认的在GET参数中执行命令在POST.
博客
HoneyDrive_3蜜罐系统的安装部署及使用指南
01-27 6156
HoneyDrive是主要的蜜罐Linux发行版。它是安装了Xubuntu Desktop 12.04.4 LTS版的虚拟设备(OVA)。它包含10多个预安装和预配置的蜜罐软件包,例如Kippo SSH蜜罐,Dionaea和Amun恶意软件蜜罐,Honeyd低交互蜜罐,Glastopf Web蜜罐和Wordpot,Conpot SCADA / ICS蜜罐,Thug和PhoneyC honeyclients等。此外,它包括许多有用的预配置脚本和实用程序,以分析,可视化和处理它可以捕获的数据,例如Kipp.
博客
30余种加密编码类型的密文特征分析(建议收藏)
11-11 4万+
一、md5一般MD5值是32位由数字“0-9”和字母“a-f”所组成的字符串,如图。如果出现这个范围以外的字符说明这可能是个错误的md5值,就没必要再拿去解密了。16位值是取的是8~24位。md5的三个特征:确定性:一个原始数据的MD5值是唯一的,同一个原始数据不可能会计算出多个不同的MD5值。碰撞性:原始数据与其MD5值并不是一一对应的,有可能多个原始数据计算出来的MD5值是一样的,这就是碰撞。不可逆:也就是说如果告诉你一个MD5值,你是无法通过它还原出它的原始数据的,这不是你的技术不够牛,
博客
网络安全相关行业必备网站(持续更新中)
10-14 8833
更新时间:2020年10月22日11:37:29更新内容:更新了码农常用工具直达目录信息收集类搜索引擎指纹识别whois查询子域名爆破端口扫描综合查询身份信息泄露查询威胁情报C段查询:[webscan.cc](https://webscan.cc)加密解密类md5base64站长工具:[tool.chinaz.com](http://tool.chinaz.com/Tools/Unicode.aspx)零宽隐写:[yuanfux.github.io](https://yuanfux.github.i.
博客
企业级内网的域控环境搭建3万字详细部署教程
03-29 6885
声明:本文介绍的技术仅供网络安全技术人员及白帽子使用,任何个人或组织不可传播使用相关技术及工具从事违法犯罪行为,一经发现直接上报国家安全机关处理实验环境:环境搭建:模拟实验:...
博客
企业级内网环境搭建2万字详细教程
03-25 9827
简单说明:环境需要四台虚拟机,每一台分别充当企业内不同的功能分区,在真实环境中的配置还需视情况自行更改内网搭建示意图目录指南所需设备:内网环境搭建:pfSense安装及使用说明基本安装过程主机端配置过程浏览器端安装过程测试主机之间的连通情况修改各服务器的IP配置检测网络连通情况设置dhcp为办公区分配IP更改防火墙规则只允许办公区上网设置防火墙规则允许全部机器上网设置防火墙规则使外网能访...
博客
一个简单的bat脚本便可实现局域网所有存活IP的精准扫描
03-23 4207
此脚本的扫描可在几秒钟之内完成脚本内容无需更改,如下:@echo offFOR /L %%I in (1,1,255) do ping 192.168.1.%%I -n 1 -w 100arp -a >C:\Users\Administrator\Desktop\1.txtexit保存后双击执行就会出现1.txt文件,里面会出现所有存活主机的IP...
博客
【专题文章导航】本篇收录了SQL注入、漏洞复现、后渗透、新增漏洞报告四个专题的所有文章
03-07 2113
SQL注入篇漏洞复现篇新增漏洞报告mysql 联合查询注入文件上传之js绕过【威胁通告】Apache Tomcat 文件包含漏洞(CVE-2020-1938)威胁通告对information_schema数据库的解析文件上传之mime绕过【威胁通告】微软 SQL Server 远程代码执行漏洞(CVE-2020-0618)威胁通告盲注iis6.0解析漏洞......
博客
PHITHON的公开漏洞 | 绝大部分php探针存在xss漏洞
08-10 1744
转载自:https://bugs.leavesongs.com/研究了一下市面上的php探针,发现同源现象较严重。首先发现了php雅黑探针(可以说是国内用的最多的探针了)的一些安全问题,由此各种php探针都躺枪了。就算非同源的php探针往往也容易出现这个问题,这里会给出一些例子。该问题影响范围较广,LNMP、WDCP等linux面板由于自带探针、UPUPW面板也自带探针,所以都躺枪了。简单搜集了一下,影响的探针不止有以下这些:php雅黑探针UenuProbe探针UPUPW PHP 探针B-Ch
博客
Apple任意代码执行漏洞通告
07-27 1138
报告编号:B6-2021-072701报告来源:360CERT报告作者:360CERT更新日期:2021-07-270x01 漏洞简述2021年07月27日,360CERT监测发现Apple发布了macOS、iOS、iPadOS远程代码执行漏洞的风险通告,漏洞编号为CVE-2021-30807,漏洞等级:高危,漏洞评分:8.5。macOS、iOS、iPadOS是Apple公司的操作系统,在全球拥有庞大的用户基数。这些操作系统中的IOMobileFrameBuffer内核拓展中存在一处任意代码.
博客
Windows Print Spooler服务最新漏洞CVE-2021-34527详细分析
07-09 1万+
0x00 前言近日,有安全研究员在github上公开了"CVE-2021-1675"的exp PrintNightmare,后经验证公开的exp是一个与CVE-2021-1675不同的漏洞,微软为其分配了新的编号CVE-2021-34527。这篇文章记录了CVE-2021-34527的复现过程,并对漏洞成因进行了简单的分析。0x01 漏洞复现这里记录域控环境下使用普通权限域账户实现RCE反弹nt authority\system shell的过程。下面的漏洞复现和漏洞分析都是基..
博客
漏洞情报 | WordPress ProfilePress插件多个严重漏洞
07-07 1149
​点击上方 订阅话题 第一时间了解漏洞威胁0x01 漏洞描述WordPress ProfilePress(原 WP User Avatar)是一个轻量级会员插件,可用于创建用户画像、会员目录和用于用户注册、登录、密码重置及用户信息编辑的前端表单。360漏洞云监测到WordPress ProfilePress插件存在多个严重漏洞。CVE-2021-34621 特权提升漏洞在用户注册过程中,攻击者可通过提供任意用户元数据实现权限提升。CVE-2021-34622 特权提升漏洞在用户画
博客
CVE-2021-35464: ForgeRock AM远程代码执行漏洞通告
07-06 1123
报告编号:B6-2021-063002报告来源:360CERT报告作者:360CERT更新日期:2021-06-300x01 漏洞简述2021年06月30日,360CERT监测发现portswigger发布了ForgeRock AM远程代码执行漏洞的漏洞分析报告,漏洞编号为CVE-2021-35464,漏洞等级:严重,漏洞评分:9.8。ForgeRock AM是一个开源的访问管理、权限控制平台,在大学、社会组织中存在广泛的应用。未经身份验证的攻击者可以通过构造特殊的请求远程执行任意代码,并接.
博客
【在野利用|PoC公开】CVE-2020-3580: Cisco ASA安全软件XSS漏洞通告
07-06 1064
报告编号:B6-2021-063001报告来源:360CERT报告作者:360CERT更新日期:2021-06-300x01 漏洞简述2021年06月30日,360CERT监测发现Cisco于6月28日发布了 思科自适应安全软件(ASA)和Firepower威胁防御(FTD)软件在野漏洞活跃的风险通告,漏洞编号为CVE-2020-3580,漏洞等级:中危,漏洞评分:6.1`。Cisco ASA软件、FTD软件是运行在Cisco设备上的通用软件,主要用于服务用户防御和监控网络内部的攻击。Ci.
博客
CVE-2021-30116: Kaseya VSA 远程代码执行漏洞通告
07-06 2438
报告编号:B6-2021-070601报告来源:360CERT报告作者:360CERT更新日期:2021-07-060x01 漏洞简述2021年07月06日,360CERT监测发现Kaseya发布了VSA管理软件的风险通告,漏洞等级:严重,漏洞评分:9.8。Kaseya VSA是一款企业用于集中IT管理的软件。分为管理端和用户端,管理端可以批量的控制用户端设备,例如在用户端设备上执行命令、执行脚本、开启/关闭电源等。根据其官方通告以及监测到的REvil利用VSA漏洞的勒索事件,VSA软件中.
博客
【EXP已验证】CVE-2021-34527: Windows Print Spooler 蠕虫级远程代码执行0day漏洞通告
07-02 1527
报告编号:B6-2021-062902报告来源:360CERT报告作者:360CERT更新日期:2021-07-021更新概览1.漏洞简述新增360CERT对CVE-2021-34527(PrintNightmare)的研判2.漏洞详情新增相关验证截图2漏洞简述2021年06月29日,360CERT监测发现安全研究人员在GitHub上公开了Windows Print Spooler 蠕虫级远程代码执行0day漏洞的EXP,漏洞等级:严重,漏洞评分:10.0。Windows Print
博客
零日漏洞 | 微软披露最新 Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)
07-02 1266
​点击上方 订阅话题 第一时间了解漏洞威胁0x01 漏洞描述Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中。360漏洞云监测到微软最新披露了一个新的Windows Print Spooler远程代码执行漏洞(CVE-2021-34527),微软已知该漏洞存在在野利用。该漏洞目前为零日状态,微软暂未发布修复。该漏洞源于Windows Print Spooler服务执行特权文件操作不当,攻击者可利用该漏洞以系统权限运行任意代码。攻击者可以安装
博客
【POC公开】CVE-2021-1675: Windows Print Spooler远程代码执行漏洞通告
06-30 836
报告编号:B6-2021-062902报告来源:360CERT报告作者:360CERT更新日期:2021-06-290x01 漏洞简述2021年06月29日,360CERT监测发现安全研究人员在GitHub上公开了Windows Print Spooler远程代码执行漏洞的POC,漏洞编号为CVE-2021-1675,漏洞等级:严重,漏洞评分:7.8。Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中,攻击者可以通过该漏洞绕过PfcAddP.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值