前言
F5 BIG-IP 是美国F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。7月1日,F5 官方公布留在 F5 BIG-IP 产品的流量管理用户页面(TMUI)/配置实用程序的特定页面中存在一处远程代码执行漏洞,捷普安全实验室第一时间对此漏洞进行了研究并提供相关技术解决方案。
漏洞背景
F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。7月1日,F5官方公布流量管理用户界面(TMUI)存在前台远程执行代码(RCE)漏洞(CVE--5902),攻击者利用该漏洞,构造恶意请求,在未授权的情况下通过向漏洞页面发送特制的请求包,可以造成任意 Java 代码执行,进而控制 F5 BIG-IP 的全部功能,包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。
利用方法
使用本地环境,具体测试如下:
1、 任意文件读取漏洞
2、 命令执行漏洞
影响版本
BIG-IP 15.x: < 15.1.0.3
BIG-IP 14.x: < 14.1.2
BIG-IP 13.x: < 13.1.3
BIG-IP 12.x: < 12.1.5
BIG-IP 11.x: < 11.6.5
建议将F5 BIG-IP 升级升级到以下版本
BIG-IP 15.x: 15.1.0.4
BIG-IP 14.x: 14.1.2.6
BIG-IP 13.x: 13.1.3.4
BIG-IP 12.x: 12.1.5.2
BIG-IP 11.x: 11.6.5.2
下载地址参考:
/csp/article/K52145254
防御方案
1、 部署捷普防火墙,请升级最新补丁,并配置相关安全策略进行防护。
2、 部署捷普入侵防御系统,请升级最新补丁,并配置相关安全策略进行防护。
3、 部署捷普网络脆弱性智能评估系统可对漏洞进行检测。
防御建议
临时修补建议:
官方建议可以通过以下步骤临时缓解影响
1) 使用以下命令登录对应系统
tmsh
2) 编辑 httpd 组件的配置文件
edit /sys httpd all-properties
3) 文件内容如下
include "
<LocationMatch ".*\.\.;.*">
Redirect 404 /
</LocationMatch>"
4) 保存文件
5) 执行命令刷新配置文件
save /sys config
6) 重启 httpd 服务
restart sys service httpd
并禁止外部IP对 TMUI 页面的访问
参考:
1.https://nvd.nist.gov/vuln/detail/CVE--5902
2./csp/article/K52145254
3./rapid7/metasploit-framework/pull/13807/commits/0417e88ff24bf05b8874c953bd91600f10186ba4
JUMP全面安全 超越所想