写点什么

F5 BIG-IP 产品曝出高危严重漏洞,中国约 1600 台设备受影响

  • 2020-07-07
  • 本文字数:1331 字

    阅读完需:约 4 分钟

F5 BIG-IP产品曝出高危严重漏洞,中国约1600台设备受影响


近日,网络安全公司 Positive Technologies披露,F5 网络的BIG-IP ADC产品存在一个严重和高危安全漏洞。利用该漏洞,攻击者有可能完全控制目标系统。


据悉,F5 BIG-IP 软件和硬件解决方案的用户有政府、财富 500 强、银行和服务提供商以及知名科技公司(包括微软、甲骨文和 Facebook 等)。BIG-IP 设备可以为组织提供应用程序加速、负载均衡、SSL 卸载和 Web 应用程序防火墙等功能,因此堪称当前最受欢迎的网络产品之一,并被广泛应用于全球各地的政府网络、ISP 的网络、云服务提供商的数据中心以及众多企业网络中。此外,F5 还在官网称“财富 50 强中的 48 家企业都在使用 BIG-IP 设备”。


通过使用Shodan搜索引擎扫描,研究者发现有近 8400 台易受攻击的 BIG-IP 设备暴露在互联网上,其中 40%位于美国。


然而,还有 19%的产品分布于中国,大约为 1600 台。简言之,中国有近 1600 台 F5 BIG-IP 产品受该漏洞影响,非常容易遭受攻击。

漏洞详情

据了解,Positive Technologies 的安全研究人员 Mikhail Klyuchnikov发现这个安全漏洞,并报告给 F5 公司。


这个安全漏洞被称为“远程代码执行”漏洞(即 RCE 漏洞),它主要影响 BIG-IP 的 TMUI 配置实用程序。


目前,该漏洞编号为 CVE-2020-5902,CVSS 评分为 10,即最严重的安全漏洞等级。


Klyuchnikov 说,“远程攻击者利用这个漏洞可以访问 BIG-IP 配置实用程序,无需授权,即可进行远程代码执行(RCE)。”

漏洞危害

攻击者无需有效凭证即可攻击设备,并且一次成功的漏洞利用允许攻击者创建或删除文件、禁用服务、劫持信息、运行任意系统命令和 Java 代码、完全侵入系统。


不过,为利用这个安全问题,攻击者必须将恶意制作的 HTTP 请求发送到托管 TMUI 的服务器来进行 BIG-IP 配置。


F5 还表示,处于 Appliance 模式的 BIG-IP 也容易受到攻击。这个问题未在数据平面上暴露,仅控制平面受到影响。


由于该漏洞的严重性,美国网络司令部 7 月 3 日发布推文,催促 F5 用户紧急修复它们的设备,“请立即给 CVE-2020-5902 和 5903 漏洞打上补丁,不要拖到周末”。



CVE-2020-5903则是由 Klyuchnikov 发现的另一个安全漏洞——XSS,即跨站脚本攻击。据了解,攻击者利用该漏洞可以进行远程 JavaScript 代码执行来完全破坏 BIG-IP 系统。

安全建议

针对 CVE-2020-5902 和 5903 漏洞,F5 发布了两份安全公告:《K52145254: TMUI RCE vulnerability CVE-2020-5902》和《K43638305: BIG-IP TMUI XSS vulnerability CVE-2020-5903》。


其中,对于 CVE-2020-5902 漏洞,用户可按照表 1 进行升级;



表 1


对于 CVE-2020-5903 漏洞,用户可按照表 2 进行升级。



表 2


对于不能立即升级补丁版的用户,F5 还提供了临时迁移措施,其中涉及影响所有网络接口、自身 IP 或管理接口的设置修改。


为说明在这些设备上泄露数据和执行命令有多容易,许多网络安全研究人员已经开始公开发布 F5 BIG-IP CVE-2020-5092 的漏洞利用详情。还有研究者创建了一个 GitHub repository(存储库),该存储库列出了执行各种任务的 PoC。




而 NCC 集团的 Rich Warren 已经看到尝试利用 F5 BIG-IP 设备漏洞发起的远程攻击活动。


毫无疑问,无论是 APT,还是 state-sponsored actors、勒索软件运营者等,它们都可能利用此漏洞实施攻击,入侵系统,获取数据。因此,请立即修复漏洞!


2020-07-07 14:072933
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 380.6 次阅读, 收获喜欢 1805 次。

关注

评论

发布
暂无评论
发现更多内容

【中远海运特运】WeOps产品为业务系统安全稳定保驾护航!

嘉为蓝鲸

软件测试|教你如何用Python获取昨天今天明天的日期

霍格沃兹测试开发学社

先巩固下 Java 线程这些基础操作,再开始多线程编程也不迟

Java你猿哥

Java 多线程 开发

在线教育≠在线观看:风变科技应用无影打造自动化实训教学模式

云布道师

无影

如何通过C#/VB.NET从PowerPoint文档中提取图片

在下毛毛雨

C# .net PowerPoint 提取图像

WeOpsV3.15持续拓展监控能力,支持硬件设备IPMI智能监控

嘉为蓝鲸

IT

12家辽宁AI领先企业加入昇腾万里伙伴计划

科技热闻

与高校开发者面对面,昇腾AI开发者创享日首次走进沈阳高校

科技热闻

【广州银行信用卡中心】5分钟实现一键发布!

嘉为蓝鲸

IT

嘉为科技与工银科技正式启动数字研运一体化合作项目

嘉为蓝鲸

图数据库中的“分布式”和“数据切分”(切图)

NebulaGraph

数据库 分布式 图数据库

Spring生态简介

Java你猿哥

Java spring Spring Boot 后端 ssm

共36万字!为上岸Alibaba,我把Github上Java面试题都整理了一遍

Java你猿哥

Java Spring Boot ssm 面经 春招

丝滑的打包部署,一套带走

Java你猿哥

Java Docker ssm 部署

打造江西数智产业高地,百度飞桨人工智能产业赋能中心落户南昌青山湖

百度开发者中心

人工智能 百度飞桨

软件测试/测试开发丨跨平台API对接(Python)的使用

测试人

软件测试 jenkins 自动化测试 测试开发

软件测试/测试开发丨数据持久化技术(Python)的使用

测试人

软件测试 自动化测试 测试开发

Python十大实用技巧【附源码】

我爱娃哈哈😍

Python 开发技巧

对象存储BOS: 通过安卓SDK使用HTTPDNS服务

百度开发者中心

对象存储

触达率提升 20%,融云推送优化实践

融云 RongCloud

产品 实践 融云

直播回顾 | 告警全生命周期管理的思路与落地实践

嘉为蓝鲸

IT

2021年第十一届数据技术嘉年华(DTC)资料分享

墨天轮

数据库 GaussDB TiDB 国产数据库 南大通用

人工智能深入油气领域 百度智能云与石化盈科共建合同智能化应用平台

百度开发者中心

人工智能

NFT游戏藏品开发DApp系统搭建

薇電13242772558

NFT

xx产品介绍

andy

唯一入选的制品库!嘉为蓝鲸CPack制品管理平台成功入选!

嘉为蓝鲸

IT

研云运一体,嘉为蓝鲸助力中国智造扬帆出海!

嘉为蓝鲸

IT

一文带你掌握轻量化模型设计原则和训练技巧!

Openlab_cosmoplat

工业互联网 开源社区 轻量化模型 openlab

阿里三面46题:java高级+数据库+网络+架构设计!含答案大赠送!

Java你猿哥

Java 阿里巴巴 后端 面经 春招

如何分析网站监控中的数据报表,都有哪些关键信息?

云智慧AIOps社区

监控 监控宝 云智慧 监控安全 网站监控

信通院MLOps旗舰级评测,业内首批通过!

百度开发者中心

人工智能 深度学习‘’ 文心一言

F5 BIG-IP产品曝出高危严重漏洞,中国约1600台设备受影响_安全_万佳_InfoQ精选文章