Positive Technologies网络安全人员Mikhail Klyuchnikov在BIG-IP ADC (应用交付控制器,application delivery controller)的流量管理用户接口(Traffic Management User Interface,TMUI)中发现了一个高危安全漏洞,漏洞CVE编号为CVE-2020-5902,CVSS评分为10分。远程攻击者可以监控管理的应用数据随后完全控制目标系统。
BIG-IP ADC广泛应用于大型企业,数据中心、云计算平台中,可以实现应用加速、负载均衡、SLL过载、web应用防火墙等功能。
CVE-2020-5902
未认证的攻击者可以通过发送伪造的恶意HTTP请求到含有TMUI工具的有漏洞的服务器来远程利用该漏洞。成功利用该漏洞可以完全控制设备的管理员权限,无需授权就可以在被黑的设备上执行任意任务,包括:
· 创建和删除文件;
· 禁用服务;
· 拦截信息;
· 运行任意系统命令和java代码;
· 完全入侵系统;
· 寻找其他攻击目标,比如内网中的其他设备。
CVE-2020-5903
CVE-2020-5903是F5 BIG-IP设备的ADC XSS漏洞,CVSS评分为7.5。远程攻击者利用该漏洞可以以登陆的管理员用户权限运行恶意JS代码。
如果用户有管理员权限并可以访问Advanced Shell (bash),成功利用后可以通过RCE实现BIG-IP 设备的完全控制。
漏洞在野利用
NCC 研究人员称漏洞公开不到3天,已经有黑客利用这些漏洞对F5 BIG-IP网络设备发起在野攻击了。研究人员发现攻击者正在从蜜罐系统中读取不同的文件,并通过内置的JSP文件来执行命令。通过这种方式攻击者可以复制加密的管理员口令、设置等等。
受影响的设备和补丁
截至2020年6月,有超过8000台F5 BIG-IP网络设备暴露在互联网上,其中财富50强的公司中有48家使用F5 BIG-IP设备。这些联网的设备中,有40%位于美国、19%位于中国(其中台湾地区3%)、2.5%位于加拿大和印度、约1%位于俄罗斯。
受影响的设备版本包括BIG-IP v11.6、12.1.x、13.1.x、14.1.x、15.0.x和15.1.x版本。研究人员建议用户更新到最新的11.6.5.2、12.1.5.2、13.1.3.4、14.1.2.6、15.1.0.4版本。
此外,使用AWS、阿里云、Azure等公有云服务的用户也建议使用BIG-IP Virtual Edition (VE) v11.6.5.2、12.1.5.2、13.1.3.4、14.1.2.6、15.0.1.4和15.1.0.4版本。
本文来源于互联网:F5 BIG爆CVSS 10分漏洞,已现再野利用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论