情資內容

行政院技術服務中心及TWCERT/CC於7月6日發布F5 BIG-IP產品之流量管理用戶介面(Traffic Management User Interface，簡稱TMUI)存在安全漏洞(CVE-2020-5902與CVE-2020-5903)，遠端攻擊者可對目標設備發送特製請求，利用此漏洞進而遠端執行系統指令、寫入與刪除檔案、關閉服務及執行任意Java程式碼。[1][2] Github漏洞利用說明:[3] CVE-2020-5902漏洞目前已有研究人員於github發布漏洞驗證利用工具。 F5原廠 公告漏洞評分: CVE-2020-5902[4] 存在於BIG-IP系列產品的TMUI（Traffic Management User Interface，流量管理介面）當中，攻擊者首先需向設備傳送特製的HTTP請求，藉此訪問設備的管理介面。在未經授權的情況下，該管理介面允許攻擊者遠端執行任意指令與執行任意JAVA程式碼、遠端操縱設備並修改網路設定、危害關鍵資料，在更嚴重的情況下，攻擊者能損壞機構內部網路，並透過設備發動對外攻擊或散布勒索軟體。 Base Score: 10 CRITICAL CVSS:3.1/ AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVE-2020-5903[5] 駭客可透過已登入的使用者權限執行JavaScript，進行跨站腳本攻擊（XSS）。若使用者具備可執行Bash之管理員權限，則可進行遠端任意指令執行。 Base Score:7.5 High CVSS:3.1/ AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H 影響平台[4][5]: BIG-IP 15.x: 15.1.0/15.0.0 BIG-IP 14.x: 14.1.0 ~ 14.1.2 BIG-IP 13.x: 13.1.0 ~ 13.1.3 BIG-IP 12.x: 12.1.0 ~ 12.1.5 BIG-IP 11.x: 11.6.1 ~ 11.6.5 因應對策or建議措施[4][5]: 1. 目前F5官方已提出更新程式，請具此漏洞之軟體版本，於評估及測試後，升級至已修正完成之版本。 BIG-IP 15.x建議升級至15.1.0.4 BIG-IP 14.x建議升級至14.1.2.6 BIG-IP 13.x建議升級至13.1.3.4 BIG-IP 12.x建議升級至12.1.5.2 BIG-IP 11.x建議升級至11.6.5.2 2. F5官方建議將系統升級至對應升級版本以完全減輕此漏洞，如目前尚無法進行系統升級，請參考官方說明程序進行設定。  CVE-2020-5902 F5建議限制對management interface及self-IP的存取，最佳方式為限制所有公開對外的存取。  CVE-2020-5903 只允許管理人員透過經管控的網路(如內部網路)存取F5設備，並限制僅有受信任的使用者可以使用shell存取。 參考連結： [1]行政院國家資通安全會報技術服務中心 https://www.nccst.nat.gov.tw/VulnerabilityDetail?lang=zh&seq=1128 [2]TWCERT/CC https://www.twcert.org.tw/tw/cp-104-3748-74c9e-1.html [3] github CVE-2020-5902 https://github.com/yassineaboukir/CVE-2020-5902 [4]F5 CVE-2020-5902 https://support.f5.com/csp/article/K52145254 [5]F5 CVE-2020-5903 https://support.f5.com/csp/article/K43638305 建議措施： 參考資料： 影響平台：