F5(F5 Networks)作為全球領(lǐng)先的應(yīng)用交付網(wǎng)絡(luò)（ADN）領(lǐng)域的廠商,6月被曝出BIG-IP(負載均衡)中兩個嚴重漏洞,代號分別為CVE-2020-5902和CVE-2020-5903,使8000多臺設(shè)備處于高度風(fēng)險之中,政府,銀行,云提供商,全球500強公司紛紛中招。

BIG-IP ADC RCE漏洞（CVE-2020-5902）

該漏洞是BIG-IP管理界面中稱為“遠程代碼執(zhí)行”漏洞，稱為TMUI（流量管理用戶界面)。未經(jīng)身份驗證的攻擊者可以通過將惡意制作的HTTP請求發(fā)送到托管用于BIG-IP配置的流量管理用戶界面（TMUI）實用程序的易受攻擊的服務(wù)器來遠程利用此漏洞。

成功利用此漏洞可能使攻擊者獲得對該設(shè)備的完全管理員控制，最終使他們無需任何授權(quán)就可以在受感染的設(shè)備上執(zhí)行他們想要的任何任務(wù)。攻擊者可以創(chuàng)建或刪除文件，禁用服務(wù)，攔截信息，執(zhí)行任意系統(tǒng)命令和Java代碼，破壞整個系統(tǒng)，并采取進一步的目標，如內(nèi)部網(wǎng)絡(luò)，在這種情況下，RCE是由多個組件中的安全漏洞導(dǎo)致的，例如允許目錄遍歷的組件。

該漏洞影響公司的BIG-IP產(chǎn)品。這些是可以用作Web流量整形系統(tǒng)，負載平衡器，防火墻，訪問網(wǎng)關(guān)，速率限制器或SSL中間件的多功能網(wǎng)絡(luò)設(shè)備。BIP-IP是當今使用的最受歡迎的網(wǎng)絡(luò)產(chǎn)品之一。它們被用于全球的政府網(wǎng)絡(luò)，互聯(lián)網(wǎng)服務(wù)提供商的網(wǎng)絡(luò)，云計算數(shù)據(jù)中心內(nèi)部以及整個企業(yè)網(wǎng)絡(luò)中。BIG-IP設(shè)備中的RCE漏洞使政府，云提供商，ISP，銀行和許多財富500強公司容易受到入侵。

截至2020年6月，已經(jīng)確定有8,000多種設(shè)備直接在線暴露于互聯(lián)網(wǎng)，其中40％分布在美國，16％在中國，3％在臺灣，2.5％在加拿大和印度尼西亞，并且少于該安全公司說，在俄羅斯只有1％。大多數(shù)使用受影響產(chǎn)品的公司都無法訪問Internet的易受攻擊的配置界面。

BIG-IP ADC XSS漏洞（CVE-2020-5903）

該XSS(跨站腳本攻擊)漏洞可能使遠程攻擊者以登錄的管理員用戶身份運行惡意JavaScript代碼。如果用戶具有管理員特權(quán)并有權(quán)訪問Advanced Shell（bash），則成功利用該漏洞可能導(dǎo)致通過RCE完全破壞BIG-IP。

受影響的版本和補丁更新

敦促受影響的公司（運行11.6.x，12.1.x，13.1.x，14.1.x，15.0.x或15.1.x版本的公司）更新為相應(yīng)的BIG-IP修補版本：11.6.5.2， 12.1.5.2、13.1.3.4、14.1.2.6和15.1.0.4。

建議使用AWS，Azure，GCP和阿里巴巴等公共云市場的用戶切換到BIG-IP虛擬版（VE）版本11.6.5.2、12.1.5.2、13.1.3.4、14.1.2.6、15.0.1.4或15.1.0.4（如果有）。

無法立即更新的組織可以通過在httpd中添加LocationMatch配置元素并阻止通過自我IP訪問其BIG-IP系統(tǒng)的TMUI 來緩解RCE漏洞。