QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

F5 BIG-IP 产品曝出高危严重漏洞,中国约 1600 台设备受影响

  • 2020-07-07
  • 本文字数:1331 字

    阅读完需:约 4 分钟

F5 BIG-IP产品曝出高危严重漏洞,中国约1600台设备受影响


近日,网络安全公司 Positive Technologies披露,F5 网络的BIG-IP ADC产品存在一个严重和高危安全漏洞。利用该漏洞,攻击者有可能完全控制目标系统。


据悉,F5 BIG-IP 软件和硬件解决方案的用户有政府、财富 500 强、银行和服务提供商以及知名科技公司(包括微软、甲骨文和 Facebook 等)。BIG-IP 设备可以为组织提供应用程序加速、负载均衡、SSL 卸载和 Web 应用程序防火墙等功能,因此堪称当前最受欢迎的网络产品之一,并被广泛应用于全球各地的政府网络、ISP 的网络、云服务提供商的数据中心以及众多企业网络中。此外,F5 还在官网称“财富 50 强中的 48 家企业都在使用 BIG-IP 设备”。


通过使用Shodan搜索引擎扫描,研究者发现有近 8400 台易受攻击的 BIG-IP 设备暴露在互联网上,其中 40%位于美国。


然而,还有 19%的产品分布于中国,大约为 1600 台。简言之,中国有近 1600 台 F5 BIG-IP 产品受该漏洞影响,非常容易遭受攻击。

漏洞详情

据了解,Positive Technologies 的安全研究人员 Mikhail Klyuchnikov发现这个安全漏洞,并报告给 F5 公司。


这个安全漏洞被称为“远程代码执行”漏洞(即 RCE 漏洞),它主要影响 BIG-IP 的 TMUI 配置实用程序。


目前,该漏洞编号为 CVE-2020-5902,CVSS 评分为 10,即最严重的安全漏洞等级。


Klyuchnikov 说,“远程攻击者利用这个漏洞可以访问 BIG-IP 配置实用程序,无需授权,即可进行远程代码执行(RCE)。”

漏洞危害

攻击者无需有效凭证即可攻击设备,并且一次成功的漏洞利用允许攻击者创建或删除文件、禁用服务、劫持信息、运行任意系统命令和 Java 代码、完全侵入系统。


不过,为利用这个安全问题,攻击者必须将恶意制作的 HTTP 请求发送到托管 TMUI 的服务器来进行 BIG-IP 配置。


F5 还表示,处于 Appliance 模式的 BIG-IP 也容易受到攻击。这个问题未在数据平面上暴露,仅控制平面受到影响。


由于该漏洞的严重性,美国网络司令部 7 月 3 日发布推文,催促 F5 用户紧急修复它们的设备,“请立即给 CVE-2020-5902 和 5903 漏洞打上补丁,不要拖到周末”。



CVE-2020-5903则是由 Klyuchnikov 发现的另一个安全漏洞——XSS,即跨站脚本攻击。据了解,攻击者利用该漏洞可以进行远程 JavaScript 代码执行来完全破坏 BIG-IP 系统。

安全建议

针对 CVE-2020-5902 和 5903 漏洞,F5 发布了两份安全公告:《K52145254: TMUI RCE vulnerability CVE-2020-5902》和《K43638305: BIG-IP TMUI XSS vulnerability CVE-2020-5903》。


其中,对于 CVE-2020-5902 漏洞,用户可按照表 1 进行升级;



表 1


对于 CVE-2020-5903 漏洞,用户可按照表 2 进行升级。



表 2


对于不能立即升级补丁版的用户,F5 还提供了临时迁移措施,其中涉及影响所有网络接口、自身 IP 或管理接口的设置修改。


为说明在这些设备上泄露数据和执行命令有多容易,许多网络安全研究人员已经开始公开发布 F5 BIG-IP CVE-2020-5092 的漏洞利用详情。还有研究者创建了一个 GitHub repository(存储库),该存储库列出了执行各种任务的 PoC。




而 NCC 集团的 Rich Warren 已经看到尝试利用 F5 BIG-IP 设备漏洞发起的远程攻击活动。


毫无疑问,无论是 APT,还是 state-sponsored actors、勒索软件运营者等,它们都可能利用此漏洞实施攻击,入侵系统,获取数据。因此,请立即修复漏洞!


2020-07-07 14:072793
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 367.0 次阅读, 收获喜欢 1802 次。

关注

评论

发布
暂无评论
发现更多内容

赋能生态合作 共话数字创新 | 2023开放原子全球开源峰会软硬协同开源分论坛即将启幕

开放原子开源基金会

开源 开放原子全球开源峰会 开放原子 软硬协同开源

Openjob 1.0.2 重磅发布,新一代分布式任务调度框架

stelin

分布式架构 Java 分布式

架构模块一作业

sandywrh

问道价值互联网,区块链的下一个十年 | 2023开放原子全球开源峰会区块链分论坛即将启幕

开放原子开源基金会

区块链 开源 开放原子全球开源峰会

浅谈微服务异步解决方案

做梦都在改BUG

Java 微服务 异步

瞄准“量效”难题,百度营销创新推出大健康线索营销解决方案-医效通

说山水

深入了解mock.js,打造出类似真实数据的模拟数据

Apifox

程序员 前端 前端开发 API Mock

探究核心技术&最佳实践,云原生OLAP论坛火热开启!

阿里云大数据AI技术

云原生

Jogger慢跑者链游系统开发NFT技术

薇電13242772558

NFT 链游

“变脸的秘密”!直播源码app开发技术特效功能的实现

山东布谷科技

源码剖析 APP开发 软件开发、 源码搭建 直播源码

百度离线资源治理

百度Geek说

数据库 大数据 离线 企业号 6 月 PK 榜 6 月 优质更文活动

OpenHarmony 4.0 Beta1发布,邀您体验

OpenHarmony开发者

OpenHarmony

大厂面试必备!字节大佬刷Leetcode总结的算法笔记

做梦都在改BUG

Java 数据结构 算法 LeetCode

来了解Amazon CodeWhisperer的强大吧

初学者

云计算 亚马逊 亚马逊云

深入探究Flink:实时处理与批量处理的完美结合

xfgg

Java flink 6 月 优质更文活动

让ChatGPT来写今年的高考作文,能得几分?

楚少AI

ChatGPT4 2023高考 ChatGPT写作

Amazon CodeWhisperer代码提示体验本文带你了解

我叫于豆豆吖.

云计算 亚马逊 亚马逊云

来自大佬的洗礼!全网独家的SpringBoot核心文档,讲的太清晰了

做梦都在改BUG

Java Spring Boot

2023世界人工智能大会“AI生成与垂直大语言模型”论坛重磅来袭!

NLP资深玩家

用户组是什么意思?怎么容易理解?有什么作用?

行云管家

运维 权限 用户组

首款搭载OpenHarmony 3.2的智能POS终端通过“开源鸿蒙”兼容性测评

科技热闻

阿里P8现身说法,解密“架构”原理与实战笔记:从分布式到微服务

做梦都在改BUG

Java 架构 分布式 微服务

打造高可用的微服务架构:Spring Cloud 的优化与实践

xfgg

Java 微服务 SpringCloud 6 月 优质更文活动

等待还是转行?GitHub爆赞的10W字Java八股文,你没得选择

做梦都在改BUG

Java java面试 Java八股文 Java面试题 Java面试八股文

什么是双机热备技术?华为和思科如何实现双机热备?

做梦都在改BUG

Java 网络 双机热备

深度学习应用篇-计算机视觉-图像分类[3]:ResNeXt、Res2Net、Swin Transformer、Vision Transformer等模型结构、实现、模型特点详细介绍

汀丶人工智能

人工智能 深度学习 计算机视觉 图像分类 6 月 优质更文活动

10分钟了解Kubernetes网络

俞凡

架构 Kubernetes 云原生

深度学习应用篇-计算机视觉-目标检测[4]:综述、边界框bounding box、锚框(Anchor box)、交并比、非极大值抑制NMS、SoftNMS

汀丶人工智能

人工智能 深度学习 计算机视觉 目标检测 6 月 优质更文活动

【体验有奖】玩转 AIGC,函数计算 x 通义千问预体验,一键部署AI应用赢Airpods

Serverless Devs

函数计算FC AIGC

最强AIGC实战应用速成指南来了!14天掌握核心技术

飞桨PaddlePaddle

人工智能 深度学习 百度飞桨

咸阳有没有等保测评机构?在哪里?怎么联系?

行云管家

等保 等保测评 等保测评机构 咸阳

F5 BIG-IP产品曝出高危严重漏洞,中国约1600台设备受影响_安全_万佳_InfoQ精选文章