F5(F5 Networks)作為全球領先的應用交付網絡（ADN）領域的廠商,6月被曝出BIG-IP(負載均衡)中兩個嚴重漏洞,代號分別為CVE-2020-5902和CVE-2020-5903,使8000多臺設備處于高度風險之中,政府,銀行,云提供商,全球500強公司紛紛中招。

BIG-IP ADC RCE漏洞（CVE-2020-5902）

該漏洞是BIG-IP管理界面中稱為“遠程代碼執(zhí)行”漏洞，稱為TMUI（流量管理用戶界面)。未經身份驗證的攻擊者可以通過將惡意制作的HTTP請求發(fā)送到托管用于BIG-IP配置的流量管理用戶界面（TMUI）實用程序的易受攻擊的服務器來遠程利用此漏洞。

成功利用此漏洞可能使攻擊者獲得對該設備的完全管理員控制，最終使他們無需任何授權就可以在受感染的設備上執(zhí)行他們想要的任何任務。攻擊者可以創(chuàng)建或刪除文件，禁用服務，攔截信息，執(zhí)行任意系統(tǒng)命令和Java代碼，破壞整個系統(tǒng)，并采取進一步的目標，如內部網絡，在這種情況下，RCE是由多個組件中的安全漏洞導致的，例如允許目錄遍歷的組件。

該漏洞影響公司的BIG-IP產品。這些是可以用作Web流量整形系統(tǒng)，負載平衡器，防火墻，訪問網關，速率限制器或SSL中間件的多功能網絡設備。BIP-IP是當今使用的最受歡迎的網絡產品之一。它們被用于全球的政府網絡，互聯(lián)網服務提供商的網絡，云計算數(shù)據中心內部以及整個企業(yè)網絡中。BIG-IP設備中的RCE漏洞使政府，云提供商，ISP，銀行和許多財富500強公司容易受到入侵。

截至2020年6月，已經確定有8,000多種設備直接在線暴露于互聯(lián)網，其中40％分布在美國，16％在中國，3％在臺灣，2.5％在加拿大和印度尼西亞，并且少于該安全公司說，在俄羅斯只有1％。大多數(shù)使用受影響產品的公司都無法訪問Internet的易受攻擊的配置界面。

BIG-IP ADC XSS漏洞（CVE-2020-5903）

該XSS(跨站腳本攻擊)漏洞可能使遠程攻擊者以登錄的管理員用戶身份運行惡意JavaScript代碼。如果用戶具有管理員特權并有權訪問Advanced Shell（bash），則成功利用該漏洞可能導致通過RCE完全破壞BIG-IP。

受影響的版本和補丁更新

敦促受影響的公司（運行11.6.x，12.1.x，13.1.x，14.1.x，15.0.x或15.1.x版本的公司）更新為相應的BIG-IP修補版本：11.6.5.2， 12.1.5.2、13.1.3.4、14.1.2.6和15.1.0.4。

建議使用AWS，Azure，GCP和阿里巴巴等公共云市場的用戶切換到BIG-IP虛擬版（VE）版本11.6.5.2、12.1.5.2、13.1.3.4、14.1.2.6、15.0.1.4或15.1.0.4（如果有）。

無法立即更新的組織可以通過在httpd中添加LocationMatch配置元素并阻止通過自我IP訪問其BIG-IP系統(tǒng)的TMUI 來緩解RCE漏洞。