1、事件详情

某日，某客户现场服务器运维人员发现，其服务器存在一个非内部人员创建的可疑账号，并通过系统日志发现当日有文件被删除,疑似失陷。该服务器为纯内网服务器，外网无法对该主机直接发起攻击，且安全事件中攻击均为内网主机发起。安全分析人员从安全事件中发现，某web服务器遭受F5 BIG-IP TMUI远程代码执行漏洞(CVE-2020-5902)攻击，并有反弹shell的迹象，锁定攻击者先是利用该漏洞获取该服务器控制权，并以此为跳板进行内网穿透。由于内网中部分主机存在弱口令账号，导致了内网部分主机权限被获取。

“聚铭网络流量智能分析审计系统”支持对CVE-2020-5902的检测

2、漏洞介绍

F5 BIG-IP是美国F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。

漏洞名称：F5 BIG-IP TMUI 远程代码执行漏洞CVE-2020-5902

漏洞危害：此漏洞允许未经身份验证的攻击者或经过身份验证的用户通过BIG-IP管理端口和/或自身IP对TMUI进行网络访问，以执行任意系统命令，创建或删除文件，禁用服务和/或执行任意操作Java代码

3、产生原因

因为httpd与tomcat解析差异导致的可以权限绕过

【例如:】

• 任意文件读取

由于fileRead.jsp本身没有身份验证，通过权限绕过之后，就能够直接访问fileRead.jsp，于是，直接从url里获取fileName参数，带入WorkspaceUtils.readFile

最终造成一个文件读取

• 命令执行

由于tmshCmd.jsp本身没有身份验证，通过权限绕过之后，就能够直接访问tmshCmd.jsp，于是，直接从url里获取command参数，带入WorkspaceUtils.runTmshCommand

4、影响范围

F5 BIG‐IP 15.1.0

F5 BIG‐IP 15.0.0

F5 BIG‐IP 14.1.0‐14.1.2

F5 BIG‐IP 13.1.0‐13.1.3

F5 BIG‐IP 12.1.0‐12.1.5

F5 BIG‐IP 11.6.1‐11.6.5

5、复现漏洞

对失陷主机进行漏洞验证，确定该服务器是否存在漏洞。

命令执行复现：

通过构造payload进行命令执行，查看admin账号

https://ip/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin

文件读取复现：

通过构造payload进行读取文件测试，成功读取/etc/passwd文件

https://ip/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

6、修复建议

1. 修改配置

1.1输入tmsh登录到TMOS Shell（tmsh）：

1.2编辑httpd属性：
edit /sys httpd all-properties

1.3将文件中<include>部分改为下列内容：
include '
<LocationMatch ";">
Redirect 404 /
</LocationMatch>

1.4保存配置：
save /sys config

1.5重新启动httpd服务：
restart sys service httpd

1.6与此同时，禁止外部IP对于TMUI的访问

2、升级到以下版本

BIG-IP 15.x: 15.1.0.4

BIG-IP 14.x: 14.1.2.6

BIG-IP 13.x: 13.1.3.4

BIG-IP 12.x: 12.1.5.2

BIG-IP 11.x: 11.6.5.2

7、处置方法

本案例中，归根结底，主要的安全问题就是管理人员未及时修复漏洞以及对纯内网的弱口令不够重视才给攻击者有了可乘之机；所以应定期修改密码并严格遵守规范，同时关闭不用的端口号，对新爆发的漏洞及时做出排查并安装补丁。

---- END ----