上周F5 BIG-IP ADC产品被披露存在重大漏洞,企业应尽快修补,因为昨(6)日有人发现,已经有攻击程序出现。
Positive Security研究人员发现的CVE-2020-5902为一远程程序代码执行(Remote Code Execution, RCE)漏洞。它位于流量管理用户接口(Traffic Management User Interface,TMUI)中,攻击者可发送恶意HTTPS开采执行TMUI的服务器进行BIG-IP组态,不需经过授权。这个漏洞让攻击者得以完全控制BIG-IP设备,包括执行任意指令、添加删除文件、或执行任意Java程序代码,甚至进入企业网络其他部分。其危险程度使其在CVSS 3.0风险评分表中拿下最高分的10分。
Positive Security另外还发现TMUI里另一中度风险的跨网站指令执行(XSS)漏洞,编号CVE-2020-5903。CVE-2020-5902、CVE-2020-5903影响BIG-IP的多个版本软件,F5已经发布更新版本。
英国安全厂商NCC Group研究人员Rich Warren昨日指出从7月4日起,该公司诱捕系统已侦测到大量RCE攻击,它们使用公开Metasploit模块组合或以Python撰写而成。Warren对ZDNet解释,这些程序大部分都是恶意程序,主要意在窃取受害设备的管理员密码。
他们还发现大量企图扫描BIG-IP传输接口的扫描程序来自中国。此外还有像是Mirai变种的DvrHelper蠕虫,以及一些挖矿程序等。
另一名代号为Rapid Safeguard的研究人员则公开了本地文件包含(Local File Include,LFI)及RCE攻击的概念验证程序,攻击者只要发送一个推文,即可在受害机器上抓取文件或执行指令。
基于编号CVE-2020-5902的危险性,美国网络作战指挥部(US CyberCommand)也在上周发出警告呼吁BIG-IP用户尽快升级软件,千万不要因美国国庆日而延迟。