现在建议仅应用推荐的缓解措施且尚未针对未经身份验证的远程代码执行(RCE)CVE-2020-5902漏洞修补其设备的F5 BIG-IP客户,应根据最近发现的绕过漏洞对其进行更新。
F5解决了 7月3日在BIG-IP ADC的流量管理用户界面(TMUI)中发现的10/10 CVSSv3严重CVE-2020-5902安全漏洞,并为无法立即打补丁的客户推荐了缓解措施。
该漏洞使未经身份验证的远程攻击者可以访问BIG-IP应用程序交付控制器(ADC)的TMUI,并远程执行任意系统命令和Java代码。
成功利用BIG-IP设备可以使攻击者完全破坏系统,收集用户凭据或潜在地横向遍历设备的内部网络。
由于CVE-2020-5902漏洞的严重性,美国网络司令部还敦促客户立即安装更新。
绕过否定建议的缓解措施
如今,安全研究人员 Chase Dardaman和 Rich Crich 与CriticalStart的TeamAres一起发现了一种绕行技术,该漏洞可以利用实施了缓解措施的设备。
目前,研究人员正在与F5的安全事件响应团队(SIRT)合作,使用缓解信息更新该公司的CVE-2020-5902安全公告,该信息还应使用旁路来阻止将来的攻击。
正如Mirch告诉BleepingComputer一样,建议BIG-IP客户在F5的缓解措施之外添加此功能以完全缓解。
但是,如果可能的话,强烈建议客户将其设备修补到最新版本,以阻止潜在的攻击,而不必在发现新的旁路时更新缓解措施。
如果您依靠CVE-2020-5902的缓解措施,我们强烈建议您进行修补。我们的研究人员@CharlesDardaman和@ 0xm1rch找到了缓解措施的旁路,并正在与F5合作以更新建议。#infosec #CVE pic.twitter.com/IqmtfZ8WER
— TeamAres(@TeamAresSec)2020年7月7日
积极利用F5 BIG-IP设备
正如NCC Group的Rich Warren 发现的那样,针对易受攻击的F5 BIG-IP设备的远程利用尝试已经在周末开始。
沃伦(Warren)发现攻击者正试图部署硬币矿工和DvrHelper(一种Mirai变种)僵尸网络恶意软件,以及基于Golang的开源GoMet植入程序。
这些攻击是在多个安全研究人员针对CVE-2020-5902安全漏洞开发并公开共享概念验证(PoC)漏洞之后开始的,该漏洞证明了滥用该漏洞执行命令和代码以及窃取信息的简单程度,来自未修补的设备。
还创建了GitHub存储库以共享PoC,这些PoC允许查看系统的配置或通过/ etc / passwd文件访问凭据。
TeamAres还发现了一种hsqldb Java反序列化利用方法,该方法可在F5 BIG-IP设备上获得代码执行,这与针对CVE-2020-5902发布的所有其他PoC不同。
在CVE-2020-5902(K52145254)@TeamAresSec于18:24公开报告的缓解措施可以绕开,我们在12:39首次在野外使用了缓解措施-升级不缓解-https:// t .CO / sSr4JIZwu3 pic.twitter.com/PMfG0rCpyQ
— NCC Group Infosec(@NCCGroupInfosec)2020年7月7日
“总而言之,我们发现我们可以访问嵌入式Java数据库(HyperSQL)或HSQLDB,” Mirch告诉BleepingComputer。
“并且利用该功能与身份验证旁路一起在tomcat应用程序服务器中实现未经身份验证的远程代码执行。”
*编译:Domino
*来自:BleepingComputer