F5 BIG-IP 重大 RCE 漏洞可造成駭客控制系統、侵入內網　已有攻擊程式出現

F5 Networks 的 BIG-IP 應用遞送控制器（application delivery controller, ADC）產品一個軟體元件被研究人員發現有極危險的遠端程式碼執行（RCE）漏洞，可能讓遠端攻擊者取得目標裝置的完整控制權，甚至在內部網路移動。

這漏洞是由安全公司 Positive Technologies 研究人員發現，並在 F5 釋出修補程式及安全公告後公諸於世。才不過幾天，已經有研究人員釋出進行檔案讀取及 RCE 概念驗證（Proof of Concept, PoC）攻擊程式、有人釋出掃瞄特定 BIG-IP 裝置是否開放外部網路存取的工具，甚至已有包含根目錄 shell 程式的 Metasploit 攻擊模組。

BIG-IP 提供企業應用加速、負載平衡、網路整流（rate shaping）、SSL 卸載 (offloading)、網頁應用防火牆等功能。F5 宣稱財星 50 大企業有 48 家使用該公司產品。

評分達 10 分的危險漏洞

而由 Positive Technologies 發現的重大漏洞 CVE-2020-5902，CVSS 評分達滿分 10 分，它出現在 BIG-IP ADC 產品的組態介面上，可由遠端開採，讓駭客在受害裝置上執行任意程式碼。研究人員發現全球有 8,000 多台 F5 Big-IP 裝置連上公開網際網路上，其中 40% 位於美國，16% 在中國，並有 3% 落在台灣。

不過幸好，研究人員指出，大部份企業並不允許從外部網路直接存取其有漏洞的組態介面。

F5 指出，漏洞位於 BIG-IP 的流量管理使用者介面（Traffic Management User Interface, TMUI）上，成功開採這個漏洞可能導致「系統被全面弱化」。。受影響的產品包括 BIG-IP 11.6.x、12.1.x、13.1.x、14.1.x、15.0.x、15.1.x，F5 已經分別針對這些產品釋出修補漏洞的版本，呼籲用戶儘速升級。

F5 的公告說明，CVE-2020-5902 若經成功開採，則能存取 BIG-IP 組態介面程式的遠端攻擊者，即可於遠端執行程式碼，無需任何授權，結果是他能新增、刪除檔案、關閉服務、攔截資訊、執行任意系統指令和 Java 程式嗎，完全弱化系統，進而尋求其他目標，像是公司內部網路。

而網路上多個環節都可能造成執行任意程式碼，像是跨目錄穿越（directory traversal exploitation）的攻擊。

Positive Technologies 也發現 BIG-IP 組態介面程式另一個跨網站指令碼（cross-site scripting, XSS）攻擊漏洞，風險為中度。F5 安全公告指出，利用本漏洞，攻擊者可冒充現有使用者執行 JavaScript。如果該使用者是具有 Bash 存取權限的管理員，則開採本漏洞可以執行遠端程式碼，達到完全控制 BIG-IP 系統的目的。

來源：SecurityWeek