F5 BIG-IP 远程代码执行漏洞httpd配置缓解方案被绕过,腾讯安全建议企业尽快修复

2020-07-08 11:41:58
F5 BIG-IP 远程代码执行漏洞httpd配置缓解方案被绕过,该漏洞的利用poc已通过专业论坛、社交媒体扩散数天,已有多家安全厂商宣布捕获在野漏洞利用:有攻击者利用该漏洞部署挖矿木马及Mirai僵尸网络蠕虫。根据腾讯安全团队网络空间测绘数据,该漏洞可能影响全球数十万网络资产,腾讯安全专家建议相关企业尽快升级修复漏洞。

本周,美国F5 BIG-IP流量管理用户界面(TMUI)未公开界面中存在远程代码执行漏洞(CVE-2020-5902) 成为全行业关注的焦点,攻击者利用漏洞可以实现远程代码执行。同时,该漏洞的利用poc已通过专业论坛、社交媒体扩散数天,已有多家安全厂商宣布捕获在野漏洞利用:有攻击者利用该漏洞部署挖矿木马及Mirai僵尸网络蠕虫。

根据腾讯安全团队网络空间测绘数据,该漏洞可能影响全球数十万网络资产,腾讯安全专家建议相关企业尽快升级修复漏洞。

 

202078日,腾讯安全团队已注意到F5官方推荐的httpd配置缓解修复方案存在被绕过风险,有国外安全团队公开了新的利用方式。官方针对LocationMatch语句配置强化如下:

 

include '

<LocationMatch ".*\.\.;.*">

Redirect 404 /

</LocationMatch>

'

 

修改为:

 

include'

<LocationMatch  “;">

Redirect404 /

</LocationMatch>

'

 

【漏洞描述】

F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。202071日,F5官方公布流量管理用户界面(TMUI)存在 前台远程执行代码(RCE)漏洞(CVE-2020-5902)。攻击者利用该漏洞,构造恶意请求,在未授权的情况下获得目标服务器的权限,实现远程代码执行。

腾讯安全专家判断该漏洞风险极高,企业需要特别注意国际APT组织对该漏洞的利用。同时,网络黑产也可能利用该漏洞传播勒索病毒、挖矿木马或窃取情报,发起DDoS攻击等等可能的风险。

 

【影响版本】

F5 BIG-IP < 15.1.0.4

F5 BIG-IP < 14.1.2.6

F5 BIG-IP < 13.1.3.4

F5 BIG-IP < 12.1.5.2

F5 BIG-IP < 11.6.5.2

 

【不受影响的版本】

F5 BIG-IP 15.1.0.4

F5 BIG-IP 14.1.2.6

F5 BIG-IP 13.1.3.4

F5 BIG-IP 12.1.5.2

F5 BIG-IP 11.6.5.2

F5 BIG-IP <11.6.1 

 

【安全建议】

腾讯安全建议企业尽快将F5 BIG-IP 升级至安全版本。下载地址参考:https://support.f5.com/csp/article/K52145254

 

【腾讯安全解决方案】

腾讯T-Sec漏洞扫描服务已于73日支持检测F5 BIG-IP TMUI 远程代码执行漏洞:

腾讯T-Sec漏洞扫描服务的更多信息,可参考官方网站:https://cloud.tencent.com/product/vss


【相关链接】

https://support.f5.com/csp/article/K52145254 

https://research.nccgroup.com/2020/07/05/rift-f5-networks-k52145254-tmui-rce-vulnerability-cve-2020-5902-intelligence/ 

https://www.bleepingcomputer.com/news/security/mitigating-critical-f5-big-ip-rce-flaw-not-enough-bypass-found/

最新资讯