官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Positive Technologies公司的安全研究人员Nikita Abramov在F5 BIG-IP产品中发现了一个安全漏洞,攻击者可利用该漏洞发动拒绝服务攻击。
该漏洞编号为CVE-2020-27716,影响F5 BIG-IP Access Policy Manager(APM)。APM是一个安全的、灵活的、高性能的访问管理代理解决方案,可对用户、设备、应用程序和API进行统一的全局访问控制。
该漏洞存在于Traffic Management Microkernel(TMM)组件,该组件用于处理BIG-IP设备上的所有负载均衡流量。
根据F5发布的安全公告,当BIG-IP APM虚拟服务器处理性质不明的流量时,TMM停止响应并重新启动。在TMM重启时,流量处理被中断。如果受影响的BIG-IP系统被配置为设备组的组成部分,则系统会触发失效转移至对等设备。
攻击者只要通过向托管BIG-IP配置实用程序的服务器发送特殊构造的HTTP请求便可触发该漏洞,暂时阻止对控制器的访问,直到设备自动重启。
Positive Technologies的研究人员Nikita Abramov解释称,像这样的漏洞在代码中很常见。它们可能是由于不同的原因而产生的,例如开发人员无意中忽略了它们,或者是由于没有进行足够的额外检查。该研究人员在二进制分析过程中发现了该漏洞。像这样的漏洞可以通过使用非标准请求,分析逻辑,逻辑不一致性来检测。
该漏洞影响14.x和15.x版本,厂商已经发布安全更新,修复了该漏洞。
2020年6月,F5 Networks的研究人员修复了另一个漏洞(CVE-2020-5902),该漏洞存在于BIG-IP产品的Traffic Management User Interface(TMUI)未公开的页面中。
攻击者可利用该漏洞获取对TMUI组件的访问权限,进而执行任意系统命令、禁用服务、执行任意Java代码、创建或删除文件、并可能接管BIG-IP设备。
CVE-2020-5902的CVSS基准评分为10,这意味着该漏洞的利用门槛非常低。攻击者通过向托管BIG-IP配置TMUI实用程序的服务器发送特殊构造的HTTP请求即可利用该漏洞。
该漏洞得到公开披露后,互联网上立即出现了多个PoC exp,且其中一些非常容易使用。
在F5 Networks BIG-IP产品中的该漏洞被披露数天后,威胁行为者就开始在攻击中利用该漏洞。威胁行为者利用CVE-2020-5902漏洞获取密码,创建web shell,使用各种恶意软件感染系统。
作者:Pierluigi Paganini
来源:Security Affairs