Lỗi nghiêm trọng trên thiết bị BIG-IP (CVE-2020-5902)

Thảo luận trong 'Audit/Pentest Security' bắt đầu bởi Sugi_b3o, 09/07/20, 12:07 AM.

  1. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 353
    Đã được thích: 275
    Điểm thành tích:
    63
    Gần đây F5 Networks đã phát hành bản cập nhật cho lỗ hổng RCE nghiêm trọng (CVE-2020-5902) ảnh hưởng đến các sản phẩm BIG-IP. Lỗ hổng đã được khai thác cho phép kẻ tấn công đọc tệp, thực thi mã hoặc kiểm soát hoàn toàn các hệ thống được cấu hình công khai trên Internet. Vấn đề bảo mật nhận được đánh giá nghiêm trọng là 9,8/10 dựa trên hệ thống điểm CVSS v3.1.

    Khai thác lỗ hổng CVE 2020-5902, kẻ tấn công có quyền truy cập vào cấu hình của BIG-IP một cách trái phép và thực thi mã từ xa (RCE). Kẻ tấn công có thể tạo hoặc xóa các tệp, vô hiệu hóa các dịch vụ, chặn thông tin, chạy các lệnh tùy ý trên hệ thống, thỏa hiệp hoàn toàn hệ thống và theo đuổi các mục tiêu xa hơn, chẳng hạn như tấn công leo thang vào các lớp mạng bên trong. Điều này đặc biệt nguy hiểm đối với các công ty sử dụng giao diện web F5 BIG-IP được liệt kê trên các công cụ tìm kiếm như Shodan.


    Bộ Tư lệnh Không gian Hoa Kỳ (USCyber -Command) đã tweet “Cài đặt bản vá CVE 2020-5902 và 5903 không nên hoãn lại đến cuối tuần. Hãy làm ngay lập tức”
    [​IMG]
    Bằng các công cụ tìm kiếm như shodan chúng ta có thể thấy được hơn 8000 thiết bị BIG-IP đang được public ra bên ngoài Internet bao gồm nhiều công ty nổi tiếng mình đã tìm được như Hpe, Deloitte, Walmart , ....

    [​IMG]

    May mắn thay Việt Nam chỉ có 28 máy chủ trong số đó, tuy nhiên việc 1 thiết bị BIG-IP bảo vệ cho hàng chục hay hàng trăm domain/subdomain là việc bình thường vì thế các công ty đang sử dụng nên cập nhật bản vá ngay lập tức để tránh bị tấn công.

    [​IMG]

    Bên cạnh đó Metasploit và nmap đã công bố mã nguồn khai thác lỗ hổng CVE 2020-5902 khiến cho việc chạy đua với thời gian của blueteam ngày càng bị rút ngắn.


    [​IMG]
    Ngoài ra việc cập nhật signature cho các công cụ IDS/IPS là cần thiết để ngăn chặn, cảnh báo khi chưa kịp update các thiết bị BIG-IP.
    Các bạn có thể xem update từ hãng F5Network hoặc xem bài của viết của Mod DDOS tại đây để fix cho thiết bị của mình
    Tham khảo: Qualys
     

    Các file đính kèm:

    • f5-3.png
      f5-3.png
      Kích thước:
      81.2 KB
      Đọc:
      351
    Chỉnh sửa cuối: 09/07/20, 11:07 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    TuanMinh thích bài này.
  1. WhiteHat News #ID:2112
  2. DDos
  3. Mơ Hồ
  4. Sugi_b3o
  5. WhiteHat News #ID:2018