就在 F5 Networks公司发布严重的 BIG-UP 漏洞的两天后,安全研究人员已经开始公布 PoC exploit,说明利用这些设备有多容易。
上周五,F5 公司披露称已发布补丁,修复一个严重的漏洞 CVE-2020-5902,它的 CVSSv3评分为10分。
该漏洞针对的是 BIG-IP,它是 F5 公司制造的一款多功能网络设备。BIG-IP 设备经配置后可作为流量控制系统、负载平衡器、防火墙、访问网关、速率限制器或 SSL 中间件。这些设备是当前最流行的一些网络产品,可用于增强某些最大的且敏感的网络。BIG-UP 设备和解决方案的F5 客户包括政府部门、财富500强企业、银行、互联网服务提供商和很多消费者品牌如微软、Oracle 和 Facebook。这些设备非常流行且强大,F5在网站上称48个财富50强公司依赖于 BIG-IP 系统。该漏洞可导致远程攻击者在无需认证身份的情况下访问 BIG-UP 应用交付控制器 (ADC) 的流量管理用户接口 (TMUI)并执行远程代码。利用 BIG-IP 设备可导致攻击者获得系统的完全访问权限、导出用户凭据并可能遍历设备的内部网络。F5 发布安全公告指出,“该漏洞可导致未认证的攻击者或具有 TMUI 网络访问权限的认证用户通过 BIG-UP 管理端口和/或 Self IP,执行任意系统命令,创建或删除文件、禁用服务,以及/或执行任意 Java 代码。该漏洞可导致系统遭完全攻陷。 Appliance 模式下的 BIG-IP 系统也易受攻击。数据面板不受影响,只有控制面板受影响。”鉴于该漏洞非常严重,因此美国网络司令部发布警告,强烈建议用户立即安装更新。
除此之外,Klyuchnikov 还在 BIG-IP 配置接口中发现了一个 XSS 漏洞 (CVE-2020-5903),它的 CVSS 评分为7.5分。该漏洞可导致远程攻击者以登录的管理员用户身份运行恶意的 JavaScript 代码。他指出,“如果用户具有管理员权限并能够访问 Advanced Shell (bash),那么成功利用该漏洞可导致经由 RCE 完全攻陷 BIG-IP。”如果你的网络正在使用 F5 BIG-IP 设备,必须马上修复。易受影响的 BIG-IP 设备版本是11.6.x、12.1.x、13.1.x、14.1.x、15.0.x 和 15.1.x,用户应升级至已打补丁的版本 11.6.5.2、12.1.5.2、13.1.3.4、14.1.2.6 和15.1.0.4。建议云市场(如 AWS、Azure、GCP和阿里巴巴)用户切换至 BIG-IP 虚拟版本 (VE) 11.6.5.2、12.1.5.2、13.1.3.4、14.1.2.6、15.0.1.4或15.1.0.4。今天,多名安全研究员开始公开发布 F5 BIG-IP 漏洞的 exploit,以此说明在易受攻击设备上提取数据并执行命令有多容易。
另外一名研究员已经创建了一个 GitHub 仓库,列出可执行多种任务的 PoC,如展示 /et/passwd 文件以访问存储的凭据或查看设备的配置文件。NCC Group 公司的研究员 Rich Warren 已开始查看试图利用 F5 BIG-IP 设备的远程攻击活动。Warren 指出,“该漏洞可使攻击者使用一个遍历序列启动 .JSP 文件,从而导致攻击者滥用经认证的 .JSP 文件功能执行一系列动作如读取文件或执行代码等。目前,我们发现一名攻击者读取蜜罐中的多个文件并通过一个内置的 .JSP 文件执行命令。借此,他们可窃取加密的管理员密码、设置等。”该 BIG-IP 漏洞是国家黑客组织和勒索软件组织近一年来正在利用的漏洞类型。自今年8月起,黑客组织就一直在利用 Pulse Secure VPN 和 Citrix 网关中的类似 RCE 漏洞,从而在企业网络中站稳脚跟,之后植入后门、窃取敏感文件或安装勒索软件。Pulse Secure 和 Citrix 漏洞已成为勒索组织的牟利来源。在很多情况下,他们并未立即利用这些漏洞,而是首先植入后门,并在数天、数周或数月之后变现其访问权限。勒索软件团伙如 REvil、Maze或 Netwalker 严重依赖于这些漏洞攻击全球最大的公司,而安全专家表示 BIG-IP 漏洞即是驱动下一轮攻击潮的漏洞类型。毋庸置疑,APT组织、国家黑客和勒索软件操纵者将要,或者已经利用这些漏洞尝试并攻陷用户网络。速修复!
https://www.bleepingcomputer.com/news/security/poc-exploits-released-for-f5-big-ip-vulnerabilities-patch-now/https://www.zdnet.com/article/hackers-are-trying-to-steal-admin-passwords-from-f5-big-ip-devices/https://thehackernews.com/2020/07/f5-big-ip-application-security.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~