F5 BIG-IP重大RCE漏洞可造成駭客控制系統、侵入內網 已有攻擊程式出現
F5 Networks的BIG-IP應用遞送控制器(application delivery controller, ADC)產品一個軟體元件被研究人員發現有極危險的遠端程式碼執行(RCE)漏洞,可能讓遠端攻擊者取得目標裝置的完整控制權,甚至在內部網路移動。
這漏洞是由安全公司Positive Technologies研究人員發現,並在F5釋出修補程式及安全公告後公諸於世。才不過幾天,已經有研究人員釋出進行檔案讀取及RCE概念驗證(Proof of Concept, PoC)攻擊程式、有人釋出掃瞄特定BIG-IP裝置是否開放外部網路存取的工具,甚至已有包含根目錄shell程式的Metasploit攻擊模組。
BIG-IP提供企業應用加速、負載平衡、網路整流(rate shaping)、SSL卸載 (offloading)、網頁應用防火牆等功能。F5宣稱財星50大企業有48家使用該公司產品。
評分達10分的危險漏洞
而由Positive Technologies發現的重大漏洞CVE-2020-5902,CVSS 評分達滿分10分,它出現在BIG-IP ADC產品的組態介面上,可由遠端開採,讓駭客在受害裝置上執行任意程式碼。研究人員發現全球有8,000多台F5 Big-IP裝置連上公開網際網路上,其中40%位於美國,16%在中國,並有3%落在台灣。
不過幸好,研究人員指出,大部份企業並不允許從外部網路直接存取其有漏洞的組態介面。
F5指出,漏洞位於BIG-IP的流量管理使用者介面(Traffic Management User Interface, TMUI)上,成功開採這個漏洞可能導致「系統被全面弱化」。。受影響的產品包括 BIG-IP 11.6.x、12.1.x、13.1.x、14.1.x、15.0.x、15.1.x,F5已經分別針對這些產品釋出修補漏洞的版本,呼籲用戶儘速升級。
F5的公告說明,CVE-2020-5902若經成功開採,則能存取BIG-IP組態介面程式的遠端攻擊者,即可於遠端執行程式碼,無需任何授權,結果是他能新增、刪除檔案、關閉服務、攔截資訊、執行任意系統指令和Java程式嗎,完全弱化系統,進而尋求其他目標,像是公司內部網路。
而網路上多個環節都可能造成執行任意程式碼,像是跨目錄穿越(directory traversal exploitation)的攻擊。
Positive Technologies也發現BIG-IP組態介面程式另一個跨網站指令碼(cross-site scripting, XSS)攻擊漏洞,風險為中度。F5安全公告指出,利用本漏洞,攻擊者可冒充現有使用者執行JavaScript。如果該使用者是具有Bash存取權限的管理員,則開採本漏洞可以執行遠端程式碼,達到完全控制BIG-IP系統的目的。
來源:SecurityWeek