Xuất hiện PoC cho lỗ hổng RCE trong F5 BIG-IP ADC

[DDos]

Mới đây, F5 đã chính thức đưa ra thông báo khắc phục lỗ hổng thực thi mã từ xa (CVE-2020-5902) trong Traffic Management User Interface (TMUI) hay được biết là tiện ích cấu hình cho BIG-IP application delivery controller (ADC). Lỗ hổng này cho phép kẻ tấn công không cần xác thực gửi một HTTP request độc hại đến máy chủ chứa Traffic Management User Interface (TMUI) - tiện ích cấu hình cho BIG-IP của chính họ để thực thi các lệnh hệ thống tùy ý, tạo hoặc xóa tệp, vô hiệu hóa các dịch vụ và thực thi mã Java theo ý muốn.

Phiên bản bị ảnh hưởng

• F5 BIG-IP < 15.1.0.4
• F5 BIG-IP < 14.1.2.6
• F5 BIG-IP < 13.1.3.4
• F5 BIG-IP < 12.1.5.2
• F5 BIG-IP < 11.6.5.2

Phiên bản đã được vá

• F5 BIG-IP 15.1.0.4
• F5 BIG-IP 14.1.2.6
• F5 BIG-IP 13.1.3.4
• F5 BIG-IP 12.1.5.2
• F5 BIG-IP 11.6.5.2

Hôm nay, nhiều nhà nghiên cứu đã bắt đầu đăng công khai cách khai thác lỗ hổng F5 BIG-IP CVE-2020-5902 để minh họa mức độ dễ dàng của việc khai thác và thực thi lệnh trên các thiết bị dễ bị tấn công.

Một nhà nghiên cứu khác đã tạo ra một kho lưu trữ GitHub với các PoC để thực hiện các thao tác khác nhau như hiển thị tệp /etc/passwd để truy cập thông tin xác thực trên hệ thống Linux hoặc để xem tệp cấu hình của thiết bị. Nhóm nghiên cứu từ NCC Group đã phát hiện việc tin tặc đang dò quét và khai thác lỗ hổng này trong thực tế.

Nếu bạn đang sử dụng F5 thiết bị BIG-IP trong mạng của mình, bạn phải cập nhật thiết bị tới phiên bản đã được vá ngay lập tức. Nếu vì một lý do nào đó, bạn không thể cập nhật thiết bị của mình, hãy thực hiện biện pháp giảm thiểu như dưới đây:

1. Đăng nhập vào TMOS Shell (tmsh) với lệnh
   

   tmsh

2. Chỉnh sửa tệp httpd bằng lệnh
   

   edit /sys httpd all-properties

3. Trong phần include của tệp, thêm đoạn
   

   include '
   <LocationMatch ".*\.\.;.*">
   Redirect 404 /
   </LocationMatch>
   '

4. Lưu lại tệp vừa chỉnh sửa
   

   Esc
   :wq!

5. Lưu cấu hình tệp
   

   save /sys config

6. Khởi động lại httpd
   

   restart sys service httpd

 

Để phát hiện lỗ hổng này bằng Nmap, bạn tải về Nmap script http-vuln-cve2020-5902.nse

 

Hi. Sao mình thử lệnh curl thứ nhất thì gặp lỗi này vậy.
{"error":"","output":""}
* Connection #0 to host x.x.x.x left intact

 

Nếu ko curl được bạn có thể replace ip rồi dán lên browser cũng truy cập được, để kiểm tra có connect được đến target không

 

Hi. Sao mình thử lệnh curl thứ nhất thì gặp lỗi này vậy.
{"error":"","output":""}
* Connection #0 to host x.x.x.x left intact

Nếu ko curl được bạn có thể replace ip rồi dán lên browser cũng truy cập được, để kiểm tra có connect được đến target không

mình readfile đc nhưng command injection k đc. dùng browser, curl, burpsuite đều k đc

 

mình readfile đc nhưng command injection k đc. dùng browser, curl, burpsuite đều k đc

mình hiểu ý bạn đang muốn RCE đến target, nhưng diễn đàn mình ko khuyến khích việc khai thác sâu đến như thế, mục đích của diễn đàn là phát hiện và đưa ra cảnh báo sớm nhất đến các target bị ảnh hưởng.