F5 BIG-IP 重大 RCE 漏洞可造成駭客控制系統、侵入內網 已有攻擊程式出現

F5 Networks的BIG-IP應用遞送控制器(application delivery controller, ADC)產品一個軟體元件被研究人員發現有極危險的遠端程式碼執行(RCE)漏洞,可能讓遠端攻擊者取得目標裝置的完整控制權,甚至在內部網路移動。

F5 Networks 的 BIG-IP 應用遞送控制器(application delivery controller, ADC)產品一個軟體元件被研究人員發現有極危險的遠端程式碼執行(RCE)漏洞,可能讓遠端攻擊者取得目標裝置的完整控制權,甚至在內部網路移動。

這漏洞是由安全公司 Positive Technologies 研究人員發現,並在 F5 釋出修補程式及安全公告後公諸於世。才不過幾天,已經有研究人員釋出進行檔案讀取及 RCE 概念驗證(Proof of Concept, PoC)攻擊程式、有人釋出掃瞄特定 BIG-IP 裝置是否開放外部網路存取的工具,甚至已有包含根目錄 shell 程式的 Metasploit 攻擊模組。

BIG-IP 提供企業應用加速、負載平衡、網路整流(rate shaping)、SSL 卸載 (offloading)、網頁應用防火牆等功能。F5 宣稱財星 50 大企業有 48 家使用該公司產品。

評分達 10 分的危險漏洞

而由 Positive Technologies 發現的重大漏洞 CVE-2020-5902,CVSS 評分達滿分 10 分,它出現在 BIG-IP ADC 產品的組態介面上,可由遠端開採,讓駭客在受害裝置上執行任意程式碼。研究人員發現全球有 8,000 多台 F5 Big-IP 裝置連上公開網際網路上,其中 40% 位於美國,16% 在中國,並有 3% 落在台灣。

不過幸好,研究人員指出,大部份企業並不允許從外部網路直接存取其有漏洞的組態介面。

F5 指出,漏洞位於 BIG-IP 的流量管理使用者介面(Traffic Management User Interface, TMUI)上,成功開採這個漏洞可能導致「系統被全面弱化」。。受影響的產品包括 BIG-IP 11.6.x、12.1.x、13.1.x、14.1.x、15.0.x、15.1.x,F5 已經分別針對這些產品釋出修補漏洞的版本,呼籲用戶儘速升級。

F5 的公告說明,CVE-2020-5902 若經成功開採,則能存取 BIG-IP 組態介面程式的遠端攻擊者,即可於遠端執行程式碼,無需任何授權,結果是他能新增、刪除檔案、關閉服務、攔截資訊、執行任意系統指令和 Java 程式嗎,完全弱化系統,進而尋求其他目標,像是公司內部網路。

而網路上多個環節都可能造成執行任意程式碼,像是跨目錄穿越(directory traversal exploitation)的攻擊。

Positive Technologies 也發現 BIG-IP 組態介面程式另一個跨網站指令碼(cross-site scripting, XSS)攻擊漏洞,風險為中度。F5 安全公告指出,利用本漏洞,攻擊者可冒充現有使用者執行 JavaScript。如果該使用者是具有 Bash 存取權限的管理員,則開採本漏洞可以執行遠端程式碼,達到完全控制 BIG-IP 系統的目的。

來源:SecurityWeek

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2023 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416