F5(F5 Networks)作為全球領(lǐng)先的應(yīng)用交付網(wǎng)絡(luò)（ADN）領(lǐng)域的廠商,6月被曝出BIG-IP(負(fù)載均衡)中兩個(gè)嚴(yán)重漏洞,代號(hào)分別為CVE-2020-5902和CVE-2020-5903,使8000多臺(tái)設(shè)備處于高度風(fēng)險(xiǎn)之中,政府,銀行,云提供商,全球500強(qiáng)公司紛紛中招。

BIG-IP ADC RCE漏洞（CVE-2020-5902）

該漏洞是BIG-IP管理界面中稱為“遠(yuǎn)程代碼執(zhí)行”漏洞，稱為TMUI（流量管理用戶界面)。未經(jīng)身份驗(yàn)證的攻擊者可以通過(guò)將惡意制作的HTTP請(qǐng)求發(fā)送到托管用于BIG-IP配置的流量管理用戶界面（TMUI）實(shí)用程序的易受攻擊的服務(wù)器來(lái)遠(yuǎn)程利用此漏洞。

成功利用此漏洞可能使攻擊者獲得對(duì)該設(shè)備的完全管理員控制，最終使他們無(wú)需任何授權(quán)就可以在受感染的設(shè)備上執(zhí)行他們想要的任何任務(wù)。攻擊者可以創(chuàng)建或刪除文件，禁用服務(wù)，攔截信息，執(zhí)行任意系統(tǒng)命令和Java代碼，破壞整個(gè)系統(tǒng)，并采取進(jìn)一步的目標(biāo)，如內(nèi)部網(wǎng)絡(luò)，在這種情況下，RCE是由多個(gè)組件中的安全漏洞導(dǎo)致的，例如允許目錄遍歷的組件。

該漏洞影響公司的BIG-IP產(chǎn)品。這些是可以用作Web流量整形系統(tǒng)，負(fù)載平衡器，防火墻，訪問(wèn)網(wǎng)關(guān)，速率限制器或SSL中間件的多功能網(wǎng)絡(luò)設(shè)備。BIP-IP是當(dāng)今使用的最受歡迎的網(wǎng)絡(luò)產(chǎn)品之一。它們被用于全球的政府網(wǎng)絡(luò)，互聯(lián)網(wǎng)服務(wù)提供商的網(wǎng)絡(luò)，云計(jì)算數(shù)據(jù)中心內(nèi)部以及整個(gè)企業(yè)網(wǎng)絡(luò)中。BIG-IP設(shè)備中的RCE漏洞使政府，云提供商，ISP，銀行和許多財(cái)富500強(qiáng)公司容易受到入侵。

截至2020年6月，已經(jīng)確定有8,000多種設(shè)備直接在線暴露于互聯(lián)網(wǎng)，其中40％分布在美國(guó)，16％在中國(guó)，3％在臺(tái)灣，2.5％在加拿大和印度尼西亞，并且少于該安全公司說(shuō)，在俄羅斯只有1％。大多數(shù)使用受影響產(chǎn)品的公司都無(wú)法訪問(wèn)Internet的易受攻擊的配置界面。

BIG-IP ADC XSS漏洞（CVE-2020-5903）

該XSS(跨站腳本攻擊)漏洞可能使遠(yuǎn)程攻擊者以登錄的管理員用戶身份運(yùn)行惡意JavaScript代碼。如果用戶具有管理員特權(quán)并有權(quán)訪問(wèn)Advanced Shell（bash），則成功利用該漏洞可能導(dǎo)致通過(guò)RCE完全破壞BIG-IP。

受影響的版本和補(bǔ)丁更新

敦促受影響的公司（運(yùn)行11.6.x，12.1.x，13.1.x，14.1.x，15.0.x或15.1.x版本的公司）更新為相應(yīng)的BIG-IP修補(bǔ)版本：11.6.5.2， 12.1.5.2、13.1.3.4、14.1.2.6和15.1.0.4。

建議使用AWS，Azure，GCP和阿里巴巴等公共云市場(chǎng)的用戶切換到BIG-IP虛擬版（VE）版本11.6.5.2、12.1.5.2、13.1.3.4、14.1.2.6、15.0.1.4或15.1.0.4（如果有）。

無(wú)法立即更新的組織可以通過(guò)在httpd中添加LocationMatch配置元素并阻止通過(guò)自我IP訪問(wèn)其BIG-IP系統(tǒng)的TMUI 來(lái)緩解RCE漏洞。