F5 BIG-IP TMUI 远程代码执行漏洞,腾讯漏洞扫描服务已支持检测

2020-07-06 12:02:29
2020年7月1日,F5官方公布流量管理用户界面(TMUI)存在前台远程执行代码(RCE)漏洞(CVE-2020-5902)。攻击者利用该漏洞,可以构造恶意请求,在未授权的情况下获得目标服务器的权限,实现任意远程代码执行,腾讯T-Sec漏洞扫描服务已支持检测该漏洞。

202071日,F5官方公布流量管理用户界面(TMUI)存在前台远程执行代码(RCE)漏洞(CVE-2020-5902)。攻击者利用该漏洞,可以构造恶意请求,在未授权的情况下获得目标服务器的权限,实现任意远程代码执行。腾讯安全团队注意到已有国外安全研究人员公开了漏洞poc,该漏洞的风险正在迅速上升。腾讯安全专家建议相关企业尽快修复漏洞,腾讯T-Sec漏洞扫描服务已支持检测该漏洞。

 

【漏洞描述】

F5 BIG-IP流量管理用户界面(TMUI)的未公开界面中存在远程代码执行漏洞。该漏洞允许未授权的攻击者或授权用户通过BIG-IP的管理端口和/或自身IP执行任意系统命令,增删文件,停止服务,或执行任意java代码。该漏洞将导致严重的系统危害,服务器可能被攻击者完全控制,BIG-IP设备也存在此漏洞。

 

F5 BIG-IP是由美国F5 Networks公司发行的一系列应用交付平台,具有负载均衡,流量管理,应用程序管理等多种功能。能够提供构建灵活的应用交付网络架构所需的基础组件,同时推动企业云架构实现,用户能够全方位监控自己的应用交付环境。

 

【漏洞等级】高危

 

【漏洞影响版本】

F5 BIG-IP < 15.1.0.4

F5 BIG-IP < 14.1.2.6

F5 BIG-IP < 13.1.3.4

F5 BIG-IP < 12.1.5.2

F5 BIG-IP < 11.6.5.2

 

【不受影响的版本】

F5 BIG-IP 15.1.0.4

F5 BIG-IP 14.1.2.6

F5 BIG-IP 13.1.3.4

F5 BIG-IP 12.1.5.2

F5 BIG-IP 11.6.5.2

F5 BIG-IP <11.6.1

 

【腾讯安全解决方案】

腾讯T-Sec漏洞扫描服务已支持检测F5 BIG-IP TMUI 远程代码执行漏洞:

 

【漏洞修复方案】

1.F5官方已经发布了最新版本修复了该漏洞,受影响的用户应尽快升级进行防护。访问该链接获取最新版相关组件:

https://downloads.f5.com/esd/productlines.jsp 

 

2.暂不方便升级的用户可采取以下缓解措施

a.通过输入以下命令登录到TMOS Shell(tmsh):

Tmsh

 

b.通过输入以下命令来编辑httpd属性:

edit /sys httpd all-properties

 

c.将文件中<include>部分改为下列内容:

include '<LocationMatch “.*\.\.;.*”> Redirect 404 /</LocationMatch>'

 

d.保存退出。

Esc

:wq!

 

e.重启httpd服务。

restart sys service httpd

 

建议同时禁止外部IP对于TMUI的访问,或只允许管理人员在安全网络环境下访问来缓解漏洞。

 

【参考链接】

https://support.f5.com/csp/article/K52145254

最新资讯