网络安全研究人员今天发布了安全公告,警告全球的企业和政府立即修补一个严重的远程代码执行漏洞,该漏洞会影响运行应用程序安全服务器的F5的BIG-IP网络设备。
该漏洞被指定为CVE-2020-5902,并被评为CVSS严重等级(满分10分),可以使远程攻击者完全控制目标系统,从而最终获得对其所管理应用程序数据的监视。
Positive Technologies的安全研究员Mikhail Klyuchnikov发现了此漏洞并将其报告给F5 Networks称,此问题存在于配置工具中,该工具用于BIG-IP应用交付控制器(ADC)的流量管理用户界面(TMUI)。
大型企业,数据中心和云计算环境正在使用BIG-IP ADC,从而使它们能够实现应用程序加速,负载平衡,速率整形,SSL卸载和Web应用程序防火墙。
F5 BIG-IP ADC RCE缺陷(CVE-2020-5902)
未经身份验证的攻击者可以通过将恶意制作的HTTP请求发送到托管用于BIG-IP配置的流量管理用户界面(TMUI)实用程序的易受攻击的服务器来远程利用此漏洞。
成功利用此漏洞可能使攻击者获得对该设备的完全管理员控制,最终使他们无需任何授权就可以在受感染的设备上执行他们想要的任何任务。
“攻击者可以创建或删除文件,禁用服务,拦截信息,执行任意系统命令和Java代码,破坏整个系统,并采取进一步的目标,如内部网络,” Klyuchnikov说。
“在这种情况下,RCE是由多个组件中的安全漏洞导致的,例如允许目录遍历的组件。”
截至2020年6月,已经确定有8,000多种设备直接在线暴露于互联网,其中40%居住在美国,16%在中国,3%在台湾,2.5%在加拿大和印度尼西亚,并且少于该安全公司说,在俄罗斯只有1%。
但是,Klyuchnikov还说,大多数使用受影响产品的公司都无法访问Internet的易受攻击的配置界面。
F5 BIG-IP ADC XSS缺陷(CVE-2020-5903)
除此之外,Klyuchnikov还报告了BIG-IP配置界面中的XSS漏洞(分配给CVE-2020-5903,CVSS评分为7.5),该漏洞可能使远程攻击者以登录的管理员用户身份运行恶意JavaScript代码。
研究人员说:“如果用户具有管理员特权并有权访问Advanced Shell(bash),则成功利用该漏洞可能导致通过RCE完全破坏BIG-IP。”
受影响的版本和补丁更新
强烈建议依赖脆弱的BIG-IP版本11.6.x,12.1.x,13.1.x,14.1.x,15.0.x,15.1.x的受影响的公司和管理员将其设备更新到最新版本11.6.5.2、12.1。 .5.2、13.1.3.4、14.1.2.6、15.1.0.4尽快。
此外,还建议使用AWS(Amazon Web Services),Azure,GCP和阿里巴巴等公共云市场的用户切换到BIG-IP虚拟版(VE)版本11.6.5.2、12.1.5.2、13.1.3.4、14.1。 2.6、15.0.1.4或15.1.0.4,请尽快获取。
*编译:Domino
*来自:thehackernews