Xuất hiện PoC cho lỗ hổng RCE trong F5 BIG-IP ADC

DDos

VIP Members
22/10/2013
524
2.189 bài viết
Xuất hiện PoC cho lỗ hổng RCE trong F5 BIG-IP ADC
Mới đây, F5 đã chính thức đưa ra thông báo khắc phục lỗ hổng thực thi mã từ xa (CVE-2020-5902) trong Traffic Management User Interface (TMUI) hay được biết là tiện ích cấu hình cho BIG-IP application delivery controller (ADC). Lỗ hổng này cho phép kẻ tấn công không cần xác thực gửi một HTTP request độc hại đến máy chủ chứa Traffic Management User Interface (TMUI) - tiện ích cấu hình cho BIG-IP của chính họ để thực thi các lệnh hệ thống tùy ý, tạo hoặc xóa tệp, vô hiệu hóa các dịch vụ và thực thi mã Java theo ý muốn.

Phiên bản bị ảnh hưởng
  • F5 BIG-IP < 15.1.0.4
  • F5 BIG-IP < 14.1.2.6
  • F5 BIG-IP < 13.1.3.4
  • F5 BIG-IP < 12.1.5.2
  • F5 BIG-IP < 11.6.5.2
Phiên bản đã được vá
  • F5 BIG-IP 15.1.0.4
  • F5 BIG-IP 14.1.2.6
  • F5 BIG-IP 13.1.3.4
  • F5 BIG-IP 12.1.5.2
  • F5 BIG-IP 11.6.5.2
Hôm nay, nhiều nhà nghiên cứu đã bắt đầu đăng công khai cách khai thác lỗ hổng F5 BIG-IP CVE-2020-5902 để minh họa mức độ dễ dàng của việc khai thác và thực thi lệnh trên các thiết bị dễ bị tấn công.

EcJwgRfXkAAN7LG.png

Một nhà nghiên cứu khác đã tạo ra một kho lưu trữ GitHub với các PoC để thực hiện các thao tác khác nhau như hiển thị tệp /etc/passwd để truy cập thông tin xác thực trên hệ thống Linux hoặc để xem tệp cấu hình của thiết bị. Nhóm nghiên cứu từ NCC Group đã phát hiện việc tin tặc đang dò quét và khai thác lỗ hổng này trong thực tế.

Nếu bạn đang sử dụng F5 thiết bị BIG-IP trong mạng của mình, bạn phải cập nhật thiết bị tới phiên bản đã được vá ngay lập tức. Nếu vì một lý do nào đó, bạn không thể cập nhật thiết bị của mình, hãy thực hiện biện pháp giảm thiểu như dưới đây:
  1. Đăng nhập vào TMOS Shell (tmsh) với lệnh
    Mã:
    tmsh
  2. Chỉnh sửa tệp httpd bằng lệnh
    Mã:
    edit /sys httpd all-properties
  3. Trong phần include của tệp, thêm đoạn
    Mã:
    include '
    <LocationMatch ".*\.\.;.*">
    Redirect 404 /
    </LocationMatch>
    '
  4. Lưu lại tệp vừa chỉnh sửa
    Mã:
    Esc
    :wq!
  5. Lưu cấu hình tệp
    Mã:
    save /sys config
  6. Khởi động lại httpd
    Mã:
    restart sys service httpd
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Sugi_b3o
Hi. Sao mình thử lệnh curl thứ nhất thì gặp lỗi này vậy.
{"error":"","output":""}
* Connection #0 to host x.x.x.x left intact
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Nếu ko curl được bạn có thể replace ip rồi dán lên browser cũng truy cập được, để kiểm tra có connect được đến target không
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Hi. Sao mình thử lệnh curl thứ nhất thì gặp lỗi này vậy.
{"error":"","output":""}
* Connection #0 to host x.x.x.x left intact
Nếu ko curl được bạn có thể replace ip rồi dán lên browser cũng truy cập được, để kiểm tra có connect được đến target không
mình readfile đc nhưng command injection k đc. dùng browser, curl, burpsuite đều k đc
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
mình readfile đc nhưng command injection k đc. dùng browser, curl, burpsuite đều k đc
mình hiểu ý bạn đang muốn RCE đến target, nhưng diễn đàn mình ko khuyến khích việc khai thác sâu đến như thế, mục đích của diễn đàn là phát hiện và đưa ra cảnh báo sớm nhất đến các target bị ảnh hưởng.
 
Comment
Thẻ
cve-2020-5902
Bên trên