F5已針對受CVE-2020-5902漏洞波及產品釋出修補,受影響產品包括BIG-IP 11.6.x、12.1.x、13.1.x、14.1.x、15.0.x、15.1.x,CVE-2020-5902風險等級來到CVSS 3.0滿分10分,用戶應儘速升級。

安全廠商Positive Technologies揭露F5 Networks的知名網路及安全產品BIG IP應用遞送控制器(application delivery controller,ADC)存在一個重大安全漏洞,可能讓不具授權的遠端攻擊者執行指令,並取得系統完整控制權,包括攔截流經該設備的應用流量。

編號CVE-2020-5902發生在BIG IP ADC的組態工具,或稱流量管理用戶介面(Traffic Management User Interface,TMUI)上。攻擊者針對跑TMUI的主機傳送惡意的HTTP呼叫開採本漏洞。成功開採,非授權的攻擊者即可透過BIG-IP的管理連接埠或Self IP遠端存取TMUI,而能執行任意指令,或刪除、新增檔案、關閉服務,以及執行任意Java程式碼,進而造成整個網路風險。

發現該漏洞的Positive Technologies研究人員Mikhail Klyuchnikov解釋,這遠端程式碼執行(RCE)漏洞,可能讓駭客得以深入企業內部網路其他部份,例如執行跨目錄穿越(directory traversal)攻擊,這對某些把F5 BIP-IP Web介面公開曝露於Shodan等搜尋引擎的企業來說尤其危險。

Positive Technologies發現,今年6月份全球有8千多臺有漏洞的BIG-IP產品,其中40%位於美國,中國占16%,臺灣曝險機器也占了3%(約250臺),此外,加拿大及印尼各占2.5%。

CVE-2020-5902風險等級來到CVSS 3.0滿分10分。受影響的產品包括 BIG-IP 11.6.x、12.1.x、13.1.x、14.1.x、15.0.x、15.1.x,F5已經分別針對這些產品釋出修補漏洞的版本,包括11.6.5.2、12.1.5.2、13.1.3.4、14.1.2.6及15.1.0.4,呼籲用戶儘速升級。而公有雲包括AWS、GCP及阿里巴巴等的用戶,廠商也呼籲轉到前述軟體的BIP-P Virtual Edition (VE)。不過,BIG-IQ 中央管理及Traffix SDC皆未受影響。

Klyuchnikov另外發現BIG IP組態介面上的跨網站指令執行(XSS)漏洞,編號CVE-2020-5903。如果使用者具備Bash管理員權限,則可開採漏洞,導致透過遠端程式碼執行控制BIG-IP。本漏洞CVSS 3.0風險7.5,F5也已經修補並發出公告


Advertisement

更多 iThome相關內容