更新時間:2020/07/09 11:25:13
發佈時間:2020/07/09 11:25:13
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
行政院技術服務中心及TWCERT/CC於7月6日發布F5 BIG-IP產品之流量管理用戶介面(Traffic Management User Interface,簡稱TMUI)存在安全漏洞(CVE-2020-5902與CVE-2020-5903),遠端攻擊者可對目標設備發送特製請求,利用此漏洞進而遠端執行系統指令、寫入與刪除檔案、關閉服務及執行任意Java程式碼。[1][2]
Github漏洞利用說明:[3]
CVE-2020-5902漏洞目前已有研究人員於github發布漏洞驗證利用工具。
F5原廠 公告漏洞評分:
CVE-2020-5902[4]
存在於BIG-IP系列產品的TMUI(Traffic Management User Interface,流量管理介面)當中,攻擊者首先需向設備傳送特製的HTTP請求,藉此訪問設備的管理介面。在未經授權的情況下,該管理介面允許攻擊者遠端執行任意指令與執行任意JAVA程式碼、遠端操縱設備並修改網路設定、危害關鍵資料,在更嚴重的情況下,攻擊者能損壞機構內部網路,並透過設備發動對外攻擊或散布勒索軟體。
Base Score: 10 CRITICAL CVSS:3.1/ AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CVE-2020-5903[5]
駭客可透過已登入的使用者權限執行JavaScript,進行跨站腳本攻擊(XSS)。若使用者具備可執行Bash之管理員權限,則可進行遠端任意指令執行。
Base Score:7.5 High CVSS:3.1/ AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
影響平台[4][5]:
BIG-IP 15.x: 15.1.0/15.0.0
BIG-IP 14.x: 14.1.0 ~ 14.1.2
BIG-IP 13.x: 13.1.0 ~ 13.1.3
BIG-IP 12.x: 12.1.0 ~ 12.1.5
BIG-IP 11.x: 11.6.1 ~ 11.6.5
因應對策or建議措施[4][5]:
1. 目前F5官方已提出更新程式,請具此漏洞之軟體版本,於評估及測試後,升級至已修正完成之版本。
BIG-IP 15.x建議升級至15.1.0.4
BIG-IP 14.x建議升級至14.1.2.6
BIG-IP 13.x建議升級至13.1.3.4
BIG-IP 12.x建議升級至12.1.5.2
BIG-IP 11.x建議升級至11.6.5.2
2. F5官方建議將系統升級至對應升級版本以完全減輕此漏洞,如目前尚無法進行系統升級,請參考官方說明程序進行設定。
CVE-2020-5902
F5建議限制對management interface及self-IP的存取,最佳方式為限制所有公開對外的存取。
CVE-2020-5903
只允許管理人員透過經管控的網路(如內部網路)存取F5設備,並限制僅有受信任的使用者可以使用shell存取。
參考連結:
[1]行政院國家資通安全會報技術服務中心
https://www.nccst.nat.gov.tw/VulnerabilityDetail?lang=zh&seq=1128
[2]TWCERT/CC
https://www.twcert.org.tw/tw/cp-104-3748-74c9e-1.html
[3] github CVE-2020-5902
https://github.com/yassineaboukir/CVE-2020-5902
[4]F5 CVE-2020-5902
https://support.f5.com/csp/article/K52145254
[5]F5 CVE-2020-5903
https://support.f5.com/csp/article/K43638305
建議措施:
參考資料:
影響平台:
情資編號:
FISAC-202007-0004
系統目錄:
資安漏洞
資安類別:
資安訊息情資 / 其他
影響等級:
3
關鍵字:
弱點漏洞