漏洞描述 近日,F5官方发布公告修复了一个存在于流量管理用户界面(TMUI)的远程代码执行漏洞(CVE-2020-5902)。未经身份验证的攻击者通过BIG-IP管理端口或自身IP访问TMUI,可构造恶意请求以获取目标服务器权限,CVSS评分为10分。网络上已有EXP披露,并且目前已有利用该漏洞的攻击行为出现,建议相关用户尽快采取措施防护。 漏洞编号 CVE-2020-5902 漏洞危害 攻击者利用此漏洞,可实现远程代码执行。 漏洞等级 高危 受影响版本 F5 BIG-IP 15.x:15.1.0、15.0.0 F5 BIG-IP 14.x:14.1.0 - 14.1.2 F5 BIG-IP 13.x:13.1.0 - 13.1.3 F5 BIG-IP 12.x:12.1.0 - 12.1.5 F5 BIG-IP 11.x:11.6.1 - 11.6.5 修复方案 通用修复建议: 1) 官方升级 目前F5官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://support.f5.com/csp/article/K9502 升级指南与注意事项请参阅https://support.f5.com/csp/article/K13123 临时修复建议 若相关用户暂时无法进行升级操作,可采用以下措施进行缓解。 1) 为防止未经身份验证的攻击者利用此漏洞,可将LocationMatch配置元素添加到httpd。操作步骤如下: 1. 使用以下命令登录到TMOS Shell(tmsh): 2.通过以下命令修改httpd配置文件: 3.将文件中的<include>部分修改为下列内容: 4. 按Esc键并输入以下命令,保存对配置文件的修改: 5. 输入以下命令保存配置: 6.通过以下命令重启httpd服务使配置文件生效: 2) 建议用户禁止外部IP对TMUI的访问,或只允许管理人员在安全网络环境下访问。 注:采用方法一和二无法完全防护此漏洞,仍有可能被可访问TMUI并经过身份验证的用户利用。 3)可通过Self IPs策略阻止对BIG-IP系统TMUI的所有访问。操作方式: 将系统中每个Self IPs的“Port Lockdown”设置更改为“Allow None”。 如果必须开放端口,则可选择使用“Allow Custom”,但需要设置禁止访问TMUI的端口。 注:方法三可以防止通过Self IP对TMUI/Configuration实用程序进行访问,但这些策略还可能会影响到其他服务。 参考链接 1. https://support.f5.com/csp/article/K52145254 |