关键RCE漏洞影响F5大IP应用程序安全服务器

网络安全研究人员今天发布了一份安全建议，警告全球企业和政府立即修补影响F5运行应用程序安全服务器的大型IP网络设备的高度关键远程代码执行漏洞。

该漏洞被分配为CVE-2020-5902，被评为严重漏洞，CVSS得分为10分（满分10分），可让远程攻击者完全控制目标系统，最终获得对其管理的应用程序数据的监视。

Positive Technologies的安全研究员米哈伊尔·克柳奇尼科夫（Mikhail Klyuchnikov）发现了该漏洞，并将其报告给F5 Networks。据他说，该问题存在于一个名为“流量管理用户界面”（Traffic Management User Interface，TMUI）的配置实用程序中，该工具用于大IP应用程序交付控制器（ADC）。

大型企业、数据中心和云计算环境正在使用BIG-IP ADC，使它们能够实现应用程序加速、负载平衡、速率整形、SSL卸载和web应用程序防火墙。

F5大IP ADC RCE缺陷（CVE-2020-5902）

未经身份验证的攻击者可以通过向承载流量管理用户界面（TMUI）实用程序的易受攻击服务器发送恶意编制的HTTP请求，远程利用此漏洞进行BIG-IP配置。

成功利用此漏洞可使攻击者获得对设备的完全管理控制，最终使他们在未经任何授权的情况下在受损设备上执行任何任务。

Klyuchnikov说：“攻击者可以创建或删除文件、禁用服务、截获信息、运行任意系统命令和Java代码、完全破坏系统，并追踪进一步的目标，如内部网络。”。

“在这种情况下，RCE是由多个组件中的安全缺陷造成的，例如一个允许目录遍历攻击的组件。”

该安全公司表示，截至2020年6月，已有8000多台设备被确认直接接触互联网，其中40%居住在美国，16%在中国，3%在台湾，2.5%在加拿大和印度尼西亚，不到1%在俄罗斯。

然而，Klyuchnikov还表示，大多数使用受影响产品的公司无法访问互联网的脆弱配置界面。

除此之外，Klyuchnikov还报告了BIG-IP配置界面中的XSS漏洞（分配给CVE-2020-5903，CVSS分数为7.5），远程攻击者可能会以登录管理员用户的身份运行恶意JavaScript代码。

“如果用户拥有管理员权限和访问高级Shell（bash）的权限，成功利用该漏洞可能会导致通过RCE完全破坏BIG-IP，”研究人员说。

受影响的版本和补丁更新

依赖易受攻击的大IP版本11.6的受影响公司和管理员。x、 12.1。x、 13.1。x、 14.1。x、 15.0。x、 15.1。强烈建议x尽快将其设备更新至最新版本11.6.5.2、12.1.5.2、13.1.3.4、14.1.2.6、15.1.0.4。

此外，AWS（Amazon Web Services）、Azure、GCP和阿里巴巴等公共云市场的用户也应尽快切换到大IP虚拟版（VE）版本11.6.5.2、12.1.5.2、13.1.3.4、14.1.2.6、15.0.1.4或15.1.0.4。