一位安全研究人员发现了F5 BIG-IP产品中的一个漏洞,可以利用该漏洞进行拒绝服务(DoS)攻击。
Positive Technologies的安全专家Nikita Abramov发现了一个DoS漏洞,跟踪为 CVE-2020-27716,该漏洞会影响某些版本的F5 BIG-IP访问策略管理器(APM)。
F5 BIG-IP访问策略管理器是一种安全,灵活,高性能的访问管理代理解决方案,可为您的用户,设备,应用程序和应用程序编程接口(API)提供统一的全局访问控制。
该漏洞位于流量管理微内核(TMM)组件中,该组件处理BIG-IP设备上的所有负载平衡的流量。
“当BIG-IP APM虚拟服务器处理未公开性质的流量时,流量管理微内核(TMM)停止响应并重新启动。(CVE-2020-27716)”阅读F5发布的公告。“ TMM重新启动时,流量处理中断。如果将受影响的BIG-IP系统配置为设备组的一部分,则系统将触发故障转移到对等设备。”
攻击者可以通过向承载BIG-IP配置实用程序的服务器发送特制的HTTP请求来触发该漏洞,这足以在一段时间内阻止对控制器的访问(直到它自动重新启动)。
“此类漏洞通常在代码中发现。发生这些错误的原因可能多种多样,例如开发人员无意识地忽略了这些原因,或者由于执行的附加检查不足而导致的错误。我在二进制分析过程中发现了此漏洞。可以使用非标准请求并通过分析逻辑和逻辑不一致来检测此类缺陷。” Positive Technologies的Nikita Abramov研究员解释说。
该漏洞影响版本14.x和15.x,供应商已经发布了解决该问题的安全更新。
6月,F5 Networks的研究人员解决了另一个漏洞,称为CVE-2020-5902,该漏洞位于BIG-IP产品的流量管理用户界面(TMUI)的未公开页面中。
攻击者可以利用此漏洞来访问TMUI组件,以执行任意系统命令,禁用服务,执行任意Java代码以及创建或删除文件,并有可能接管BIG-IP设备。
在 CVE-2020-5902 漏洞获得了CVSS评分为10,这意味着,是很容易被利用。通过向托管用于BIG-IP配置的流量管理用户界面(TMUI)实用程序的服务器发送特制的HTTP请求,可以利用此问题。
在公开披露该漏洞之后,立即发布了一些概念验证(PoC)漏洞,其中一些非常易于使用。
在F5 Networks BIG-IP产品 中的漏洞披露后几天, 威胁行动者就开始在野外攻击中利用它。威胁参与者利用CVE-2020-5902漏洞获取密码,创建Web Shell并感染各种恶意软件的系统。
*编译:Domino
*来自:securityaffairs