安全厂商Positive Technologies披露F5 Networks的知名网络及安全产品BIG IP应用传送控制器(application delivery controller,ADC)存在一个重大安全漏洞,可能让不具授权的远程攻击者执行指令,并取得系统完整控制权,包括拦截流经该设备的应用流量。
编号CVE-2020-5902发生在BIG IP ADC的组态工具,或称流量管理用户接口(Traffic Management User Interface,TMUI)上。攻击者针对跑TMUI的主机发送恶意的HTTP调用开采本漏洞。成功开采,非授权的攻击者即可通过BIG-IP的管理连接端口或Self IP远程访问TMUI,而能执行任意指令,或删除、添加文件、关闭服务,以及执行任意Java程序代码,进而造成整个网络风险。
发现该漏洞的Positive Technologies研究人员Mikhail Klyuchnikov解释,这远程程序代码执行(RCE)漏洞,可能让黑客得以深入企业内部网络其他部分,例如执行跨目录穿越(directory traversal)攻击,这对某些把F5 BIP-IP Web接口公开暴露于Shodan等搜索引擎的企业来说尤其危险。
Positive Technologies发现,今年6月份全球有8千多台有漏洞的BIG-IP产品,其中40%位于美国,中国占16%,台湾曝险机器也占了3%(约250台),此外,加拿大及印尼各占2.5%。
CVE-2020-5902风险等级来到CVSS 3.0满分10分。受影响的产品包括BIG-IP 11.6.x、12.1.x、13.1.x、14.1.x、15.0.x、15.1.x,F5已经分别针对这些产品发布修补漏洞的版本,包括11.6.5.2、12.1.5.2、13.1.3.4、14.1.2.6及15.1.0.4,呼吁用户尽快升级。而公有云包括AWS、GCP及阿里巴巴等的用户,厂商也呼吁转到前述软件的BIP-P Virtual Edition (VE)。不过,BIG-IQ中央管理及Traffix SDC皆未受影响。
Klyuchnikov另外发现BIG IP组态接口上的跨网站指令执行(XSS)漏洞,编号CVE-2020-5903。如果用户具备Bash管理员权限,则可开采漏洞,导致通过远程程序代码执行控制BIG-IP。本漏洞CVSS 3.0风险7.5,F5也已经修补并发出公告。