修補了嗎？F5 BIG-IP重大RCE漏洞已出現攻擊程式

上周F5 BIG-IP ADC產品被揭露存在重大漏洞，企業應儘快修補，因為在7月5日有人揭露，已經有攻擊程式出現。

Positive Security研究人員發現的CVE-2020-5902為一遠端程式碼執行（Remote Code Execution, RCE）漏洞。它位於流量管理使用者介面（Traffic Management User Interface，TMUI）中，攻擊者可傳送惡意HTTPS開採執行TMUI的伺服器進行BIG-IP組態，不需經過授權。這個漏洞讓攻擊者得以完全控制BIG-IP裝置，包括執行任意指令、新增刪除檔案、或執行任意Java 程式碼，甚至進入企業網路其他部份。其危險程度使其在CVSS 3.0風險評分表中拿下最高分的10分。

Positive Security另外還發現TMUI裏另一中度風險的跨網站指令執行（XSS）漏洞，編號CVE-2020-5903。CVE-2020-5902、CVE-2020-5903影響BIG-IP的多個版本軟體，F5已經釋出更新版本。

英國安全廠商NCC Group研究人員Rich Warren指出從7月4日起，該公司誘捕系統已偵測到大量RCE攻擊，它們使用公開Metasploit模組組合或以Python撰寫而成。Warren對ZDNet解釋，這些程式大部份都是惡意程式，主要意在竊取受害裝置的管理員密碼。

他們還發現大量企圖掃瞄BIG-IP傳輸介面的掃瞄程式來自中國。此外還有像是Mirai變種的DvrHelper蠕蟲，以及一些挖礦程式等。

另一名代號為Rapid Safeguard的研究人員則公開了本地文件包含（Local File Include，LFI）及RCE攻擊的概念驗證程式，攻擊者只要傳送一個推文，即可在受害機器上抓取檔案或執行指令。

基於編號CVE-2020-5902的危險性，美國網路作戰指揮部（US Cyber Command）也在上周發出警告呼籲BIG-IP用戶儘速升級軟體，千萬不要因美國國慶日而延遲。