freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

一次F5 BIG-IP远程代码执行事件分析
聚铭网络 2021-09-15 16:41:05 122794

image.png

1、事件详情

某日,某客户现场服务器运维人员发现,其服务器存在一个非内部人员创建的可疑账号,并通过系统日志发现当日有文件被删除,疑似失陷。该服务器为纯内网服务器,外网无法对该主机直接发起攻击,且安全事件中攻击均为内网主机发起。安全分析人员从安全事件中发现,某web服务器遭受F5 BIG-IP TMUI远程代码执行漏洞(CVE-2020-5902)攻击,并有反弹shell的迹象,锁定攻击者先是利用该漏洞获取该服务器控制权,并以此为跳板进行内网穿透。由于内网中部分主机存在弱口令账号,导致了内网部分主机权限被获取。

image.png

“聚铭网络流量智能分析审计系统”支持对CVE-2020-5902的检测

2、漏洞介绍

F5 BIG-IP是美国F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。

漏洞名称:F5 BIG-IP TMUI 远程代码执行漏洞CVE-2020-5902

漏洞危害:此漏洞允许未经身份验证的攻击者或经过身份验证的用户通过BIG-IP管理端口和/或自身IP对TMUI进行网络访问,以执行任意系统命令,创建或删除文件,禁用服务和/或执行任意操作Java代码

3、产生原因

因为httpd与tomcat解析差异导致的可以权限绕过

【例如:】

  • 任意文件读取

由于fileRead.jsp本身没有身份验证,通过权限绕过之后,就能够直接访问fileRead.jsp,于是,直接从url里获取fileName参数,带入WorkspaceUtils.readFile

image.png

最终造成一个文件读取

image.png

  • 命令执行

由于tmshCmd.jsp本身没有身份验证,通过权限绕过之后,就能够直接访问tmshCmd.jsp,于是,直接从url里获取command参数,带入WorkspaceUtils.runTmshCommand

image.png

image.png

4、影响范围

F5 BIG‐IP 15.1.0

F5 BIG‐IP 15.0.0

F5 BIG‐IP 14.1.0‐14.1.2

F5 BIG‐IP 13.1.0‐13.1.3

F5 BIG‐IP 12.1.0‐12.1.5

F5 BIG‐IP 11.6.1‐11.6.5

5、复现漏洞

对失陷主机进行漏洞验证,确定该服务器是否存在漏洞。

命令执行复现:

通过构造payload进行命令执行,查看admin账号

https://ip/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin

image.png

文件读取复现:

通过构造payload进行读取文件测试,成功读取/etc/passwd文件

https://ip/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

image.png

6、修复建议

1. 修改配置

1.1输入tmsh登录到TMOS Shell(tmsh):

1.2编辑httpd属性:
edit /sys httpd all-properties

1.3将文件中<include>部分改为下列内容:
include '
<LocationMatch ";">
Redirect 404 /
</LocationMatch>

1.4保存配置:
save /sys config

1.5重新启动httpd服务:
restart sys service httpd

1.6与此同时,禁止外部IP对于TMUI的访问

2、升级到以下版本

BIG-IP 15.x: 15.1.0.4

BIG-IP 14.x: 14.1.2.6

BIG-IP 13.x: 13.1.3.4

BIG-IP 12.x: 12.1.5.2

BIG-IP 11.x: 11.6.5.2

7、处置方法

本案例中,归根结底,主要的安全问题就是管理人员未及时修复漏洞以及对纯内网的弱口令不够重视才给攻击者有了可乘之机;所以应定期修改密码并严格遵守规范,同时关闭不用的端口号,对新爆发的漏洞及时做出排查并安装补丁。


---- END ----

# web安全 # 漏洞分析 # F5
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 聚铭网络 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
聚铭网络 LV.9
南京聚铭网络科技有限公司
  • 609 文章数
  • 22 关注者
感谢信见证:聚铭网络助河北省人民检察院“冀信2024”创佳绩
2025-03-13
聚焦2025两会:人工智能时代下,网络安全如何破局?
2025-03-12
案例精选 | 某省级税务局大数据日志留存分析与审计中台构建实践
2025-03-07
文章目录