F5 BIG-IP重大RCE漏洞可造成駭客控制系統、侵入內網　已有攻擊程式出現

F5 Networks的BIG-IP應用遞送控制器（application delivery controller, ADC）產品一個軟體元件被研究人員發現有極危險的遠端程式碼執行（RCE）漏洞，可能讓遠端攻擊者取得目標裝置的完整控制權，甚至在內部網路移動。

這漏洞是由安全公司Positive Technologies研究人員發現，並在F5釋出修補程式及安全公告後公諸於世。才不過幾天，已經有研究人員釋出進行檔案讀取及RCE概念驗證（Proof of Concept, PoC）攻擊程式、有人釋出掃瞄特定BIG-IP裝置是否開放外部網路存取的工具，甚至已有包含根目錄shell程式的Metasploit攻擊模組。

BIG-IP提供企業應用加速、負載平衡、網路整流（rate shaping）、SSL卸載 (offloading)、網頁應用防火牆等功能。F5宣稱財星50大企業有48家使用該公司產品。

評分達10分的危險漏洞

而由Positive Technologies發現的重大漏洞CVE-2020-5902，CVSS 評分達滿分10分，它出現在BIG-IP ADC產品的組態介面上，可由遠端開採，讓駭客在受害裝置上執行任意程式碼。研究人員發現全球有8,000多台F5 Big-IP裝置連上公開網際網路上，其中40%位於美國，16%在中國，並有3%落在台灣。

不過幸好，研究人員指出，大部份企業並不允許從外部網路直接存取其有漏洞的組態介面。

F5指出，漏洞位於BIG-IP的流量管理使用者介面（Traffic Management User Interface, TMUI）上，成功開採這個漏洞可能導致「系統被全面弱化」。。受影響的產品包括 BIG-IP 11.6.x、12.1.x、13.1.x、14.1.x、15.0.x、15.1.x，F5已經分別針對這些產品釋出修補漏洞的版本，呼籲用戶儘速升級。

F5的公告說明，CVE-2020-5902若經成功開採，則能存取BIG-IP組態介面程式的遠端攻擊者，即可於遠端執行程式碼，無需任何授權，結果是他能新增、刪除檔案、關閉服務、攔截資訊、執行任意系統指令和Java程式嗎，完全弱化系統，進而尋求其他目標，像是公司內部網路。

而網路上多個環節都可能造成執行任意程式碼，像是跨目錄穿越（directory traversal exploitation）的攻擊。

Positive Technologies也發現BIG-IP組態介面程式另一個跨網站指令碼（cross-site scripting, XSS）攻擊漏洞，風險為中度。F5安全公告指出，利用本漏洞，攻擊者可冒充現有使用者執行JavaScript。如果該使用者是具有Bash存取權限的管理員，則開採本漏洞可以執行遠端程式碼，達到完全控制BIG-IP系統的目的。

來源：SecurityWeek