「防护方案」F5 BIG-IP TMUI 远程代码执行漏洞(CVE-2020-5902)

一、综述

近日,F5官方发布公告,修复了流量管理用户界面(TMUI)中存在的一个远程代码执行漏洞(CVE-2020-5902)。此漏洞允许未经身份验证的攻击者或经过身份验证的用户通过BIG-IP管理端口和/或自身IP对TMUI进行网络访问,以执行任意系统命令、创建或删除文件、禁用服务和/或执行任意Java代码。该漏洞可能对整个系统造成危害。目前监测到网络上已经有PoC,并且已有利用该漏洞的攻击行为出现,建议用户尽快升级进行防护。

F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。

参考链接:

https://support.f5.com/csp/article/K52145254

二、漏洞影响范围

  • F5 BIG-IP 15.x 已知易受攻击版本 15.1.0、15.0.0
  • F5 BIG-IP 14.x 已知易受攻击版本 14.1.0-14.1.2
  • F5 BIG-IP 13.x 已知易受攻击版本 13.1.0-13.1.3
  • F5 BIG-IP 12.x 已知易受攻击版本 12.1.0-12.1.5
  • F5 BIG-IP 11.x 已知易受攻击版本 11.6.1-11.6.5

三、技术防护方案

3.1 官方修复方案

F5官方已经发布最新版本修复了该漏洞,受影响的用户应尽快升级进行防护。

  • F5 BIG-IP  15.1.0.4
  • F5 BIG-IP  14.1.2.6
  • F5 BIG-IP  13.1.3.4
  • F5 BIG-IP  12.1.5.2
  • F5 BIG-IP  11.6.5.2

3.2 缓解措施

暂时不方便升级的用户可以采取以下临时缓解措施:

1. 输入以下命令登录到TMOS Shell(tmsh):

tmsh

2. 输入以下命令来编辑httpd属性:

edit /sys httpd all-properties

3. 将文件中<include>部分改为下列内容:

include '
<LocationMatch ".*\.\.;.*">
Redirect 404 /
</LocationMatch>
'

4. 输入以下命令将更改写入配置文件并保存:

Esc
:wq!

5. 输入以下命令保存配置:

save /sys config

6.输入以下命令重新启动httpd服务:

restart sys service httpd

与此同时,禁止外部IP对于TMUI的访问,或只允许管理人员在安全网络环境下访问来缓解漏洞。

https://support.f5.com/csp/article/K52145254

3.3 绿盟科技检测防护建议

3.3.1. 绿盟科技检测类产品与服务

内网资产可以使用绿盟科技的远程安全评估系统(RSAS V6)、Web应用漏洞扫描系统(WVSS)。

  • 远程安全评估系统(RSAS V6)

http://update.nsfocus.com/update/listRsas

  • Web应用漏洞扫描系统(WVSS)

http://update.nsfocus.com/update/listWvss

3.3.1.1 检测产品升级包/规则版本号
检测产品升级包/规则版本号
RSAS V6 系统插件6.0R02F01.1902
RSAS V6 Web插件6.0R02F00.1801
WVSS V6 插件6.0R03F00.167
  • RSAS V6 系统插件包下载链接:

http://update.nsfocus.com/update/downloads/id/106313

  • RSAS V6 Web插件包下载链接:

http://update.nsfocus.com/update/downloads/id/106314

  • WVSS V6插件包下载链接:

http://update.nsfocus.com/update/downloads/id/106312

3.3.2 绿盟科技防护类产品

使用绿盟科技防护类产品,Web应用防护系统(WAF)来进行防护。

  • Web应用防护系统(WAF)

http://update.nsfocus.com/update/wafIndex

3.3.2.1 防护产品升级包/规则版本号
防护产品升级包/规则版本号规则编号
WAFWAF 以前的规则即可防护升级包版本:6.0.7.0.45556、6.0.4.1.45556、6.0.7.1.4555627526188

四、附录A 产品使用指南

4.1 RSAS扫描配置

在系统升级中,点击下图红框位置选择文件。

选择下载好的相应升级包,点击升级按钮进行手动升级。等待升级完成后,可通过定制扫描模板,针对此次漏洞进行扫描。

4.2 WVSS扫描配置

在WVSS的系统升级界面,点击下图红框位置选择文件,进行升级:

选择下载好的相应升级包,点击升级按钮进行手动升级。等待升级完成后,可通过定制扫描模板,针对此次漏洞进行扫描。

Spread the word. Share this post!

Meet The Author

Leave Comment