cve - 2020 - 5902:关键漏洞F5几个交通管理用户界面(TMUI)积极利用

三天后一个顾问披露了一个关键的远程代码执行漏洞在F5的几个,积极尝试利用脆弱主机已经在野外观察。

2020年7月8日更新:F5更新提供了缓解细节报告后,研究人员发现了一种绕过一些风险的措施之一。我们的博客已经更新的解决方案部分。

背景

6月30日,F5网络发表文章确定为支持K52145254和K43638305在几个地址两个漏洞,其家庭的产品包括软件和硬件解决方案,提供访问控制,应用程序可用性和安全解决方案。这些产品包括:

• 本地流量管理器(中心思想)
• 应用程序加速经理(麦)
• 先进的防火墙管理器(AFM)
• 分析
• 访问策略管理器(APM)
• 应用程序安全经理(ASM)
• 域名系统(DNS)
• 欺诈保护服务(FPS)
• 全局流量管理器(GTM)
• 链接控制器
• 策略执行经理(PEM)

F5的漏洞被披露米哈伊尔·Klyuchnikovweb应用程序安全高级研究员积极的技术。

分析

cve - 2020 - 5902是一个关键漏洞几个交通管理用户界面(TMUI)也被称为配置实用程序。收到的脆弱性CVSSv3评级为10.0,最高的分数。危险的时候是可利用的网络访问TMUI暴露通过几个管理端口或自我IPs。成功开发这一缺陷给攻击者的各种特权,包括能够执行任意系统命令或Java代码,创建或删除文件,以及禁用脆弱主机上的服务。咨询州漏洞也可能“导致完整的系统妥协。”

cve - 2020 - 5903是一个跨站脚本漏洞TMUI /配置实用程序。这个漏洞收到CVSSv3评级为7.5,这使得这一“高”严重缺陷。根据F5的咨询、开发给攻击者的能力来执行JavaScript代码在当前用户的权限。如果当前用户管理权限,授予他们先进的Shell访问,攻击者能够通过远程代码执行“完全妥协的几个系统。”

另一条路径遍历缺陷出现

cve - 2020 - 5902唤起相比较cve - 2019 - 19781远程代码执行漏洞在Citrix应用程序交付控制器(ADC)和网关2019年12月披露,为此利用脚本快速出现。漏洞都是路径遍历缺陷在各自的产品,和Citrix脆弱性也发现了Klyuchnikov吗。

默认配置TMUI曝光

根据本郭学刚,金佰利公司(kimberly - clark)反威胁管理高级经理TMUI暴露在默认配置由于使用的自我“诱导多能性”。

TMUI也运行在默认自我IPs。所以很多组织意外/懒洋洋地暴露时设置公共ip vlan。

-本郭学刚(@bengoerz)2020年7月4日

高级安全工程师F5进一步阐述了11.5.3几个版本和后来的默认行为自我IPs转向“允许没有,”而11.5.2版本和之前使用“允许违约”自我“诱导多能性”。他们补充说,从以前版本升级时,现有的配置进行,包括11.5.3后设备上。用户将需要更新升级后这个配置。

正确。11.5.3后来版本为Self-IPs允许没有违约。11.5.2和早些时候允许违约。

请注意,从早期版本升级现有的配置。因此,如果配置可以追溯到一个旧版本,这可能需要改变。

- MegaZone (@megazone)2020年7月4日

超过8000个主机与暴露的管理端口访问

根据内特Warfield从微软的安全响应中心超过8000个主机与暴露的管理端口访问。

安全研究员Kushagra帕沙克扫描了12000主机和证实大约8500仍然是脆弱的。

积极开发在野外观察

根据几个报告、主动扫描和剥削的cve - 2020 - 5902已经被观察到。NCC集团专门指出,攻击者利用漏洞来捕捉”网络。xml”或“/ etc /主机”从脆弱主机。

我们看到积极的开发@F5NetworksK52145254: TMUI远端控制设备的弱点# CVE2020 - 5902的问题。演员是在网络的威胁。xml或/ etc / hosts。https://t.co/9AKpWGSrEj。

NCC集团信息安全(@NCCGroupInfosec)2020年7月4日

此外,微软资深威胁情报分析师凯文•博蒙特发现攻击者有种植的F5 honeypot cryptocurrency矿工。

我的cve - 2020 - 5902蜜罐拥有上传. .

等待. .

一枚硬币。pic.twitter.com/AxQlSVWG6Y

——凯文·博蒙特(@GossiTheDog)2020年7月5日

我们预计开发尝试将增加在未来几天,现在更多的概念证明(PoC)脚本已经出版和研究人员共享公开更多细节。

cve - 2020 - 5902的潜在影响

一个Twitter的线程发布的安全研究人员称为“kevvyg”调用这个漏洞”的一个最有效的“他们看过几十年来由于其“能力妥协任何应用程序坐在一个(LTM或GTM)。”这样的评论突显出缺陷的严重程度,及其CVSS分数强调多么简单的利用。

这可能是其中一个最有效的漏洞我看到在我20多年的信息安全。它不只是妥协一个中心思想或GTM的能力。这是妥协任何应用程序坐在一个的能力。(8 / x)

- kevvyg和错误的观点(@kevvyg)2020年7月5日

概念验证

几个PoC脚本cve - 2020 - 5902发布到GitHub。然而,在这个博客发表的时候,没有PoC cve - 2020 - 5903。

解决方案

F5发布了补丁来解决各系列产品的漏洞。下表列出了影响分支和版本,以及固定的版本。

分支	影响版本	固定的版本
11.倍	通过11.6.5 11.6.1	11.6.5.2
12.倍	通过12.1.5 12.1.0	12.1.5.2
13.倍	通过13.1.3 13.1.0	13.1.3.4
14.倍	14.1.0通过14.1.2	14.1.2.6
15.倍	15.0.0	没有一个
	15.1.0	15.1.0.4

修补这个漏洞应该优先考虑,美国网络司令部警告说,对于缺陷组织应该“立即修复”。

紧急:修补cve - 2020 - 5902年和5903年在周末不应该推迟。立即纠正。https://t.co/UBKECuN7Vv

- USCYBERCOM网络安全警报(@CNMF_CyberAlert)2020年7月3日,

如果不可行,修补F5提供了一些临时措施之一,足以解决漏洞:

• F5建议您应该允许管理访问F5产品只在一个安全的网络。如果可能的话,否认所有公共访问作为一项最佳实践。
• 自我IPs, F5建议阻止访问TMUI通过自我IPs。这是通过修改港口封锁设置每个自我IP通过设置它允许没有。开放端口的首选设备是使用允许自定义设置和防止TMUI访问。
• TMUI F5建议限制管理访问配置实用程序在使用它的产品源IP过滤。

尽管其中一些临时措施之一,F5警告说,通过身份验证的用户能够访问TMUI将“总是能够利用此漏洞”脆弱主机补丁之前,这就是为什么修补是首选修复。F5已更新他们的减排建议7月8日,我们建议经常回顾报告如果修补可能推迟进一步确保任何可以应用的建议。

确定影响系统

站得住脚的插件的列表来确定这些漏洞可以被发现在这里。请注意,由于技术问题,插件ID 137918最初贴上“低”的严重性。插件已经被修正以反映适当的严重性。

获得更多的信息

• F5支持cve - 2020 - 5902条
• F5支持cve - 2020 - 5903条
• 积极的技术新闻警惕cve - 2020 - 5902和cve - 2020 - 5903

加入站不住脚的安全响应团队站得住脚的社区。

了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。

得到一个天的免费试用站得住脚的。io脆弱性管理。