متخصص امنیتی تیم PT یک باگ امنیتی بحرانی در BIG-IP شناسایی نموده است که شرکت F5 به‌روز رسانی برای این باگ بحرانی RCE را منتشر نموده است. این آسیب‌پذیری در TMUI(Traffic Management User Interface) نرم‌افزار ADC(Application Delivery Controller) است.

شناسه آسیب‌پذیری:

CVE-2020-5902, CVE-2020-5903

درجه آسیب‌پذیری:

For both vulnerabilities:

۹.۸ Critical

سیستم‌های آسیب‌پذیر:

CVE-2020-5902:

                BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.1

CVE-2020-5903:

                BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1

سال شناسایی: ۲۰۲۰

توضیحات:

مشتریان بسیاری از نرم‌افزار و سخت‌افزار نسخه‌های شرکتی BIG-IP استفاده می‌کنند که می توان شرکت‌ها، بانک‌ها، سرویس دهنده‌ها و شرکت‌های معروفی مانند مایکروسافت، اوراکل و فیس‌بوک را نام برد. ۴۸ شرکت از ۵۰ شرکت در لیست Fortune از F5 استفاده می‌کنند و اعتماد به این محصول دارند. به مشتریان توصیه شده است که هرچه سریع‌تر به‌روز رسانی تجهیزات F5 را انجام دهند و آسیب‌پذیری CVE-2020-5902 و CVE-2020-5903 نباید مدت طولانی روی تجهیزات باقی بماند.
باگدشت در این صفحه به بررسی این آسیب‌پذیری در BIG-IP می پردازد

این آسیب‌پذیری توسط میخایل کلی‌یوچینکوف(Mikhail Klyuchnikov) محقق امنیتی Positive Technologies پیدا شده است. شدت آسیب‌پذیری CVE-2020-5902 در مرحله اول ۱۰ از ۱۰ برای CVSSv3 در نظر گرفته شده است. میخایل کلی‌یوچینکوف اعلام کرد با اکسپلویت آسیب‌پذیری حمله کننده به تنظیمات BIG-IP دسترسی دارد و بدون احراز هویت می‌تواند RCE اجرا کند.

آسیب‌پذیری CVE-2020-5902 به حمله کننده ناشناس یا کاربر ناشناس اجازه اجرای دستور دلخواه Java می‌دهد و از این طریق می‌تواند فایل‌ را پاک یا ایجاد کند و همچنین سرویس‌ها را غیرفعال کند که طریق پورت مدیریت BIG-IP(Self IPs) این کار را انجام می‌دهد. برای اکسپلویت آسیب‌پذیری امنیتی، حمله کننده درخواست HTTP مخرب به تنظیمات سرورهای TMUI برای BIG-IP می‌فرستد.

اکسپلویت آسیب‌پذیری موفق منجر به آسیب کامل به سیستم که شامل شنود ترافیک نرم‌افزار کنترلی و عملیات‌های بعدی در داخل شبکه می‌شود. طبق نظر F5 سیستم‌های BIG-IP در نسخه Appliance هم آسیب‌پذیر هستند. این مشکل امنیتی بر روی ترافیک دیتا وجود ندارد و فقط روی ترافیک کنترلی تاثیر گذاشته است.

این آسیب‌پذیری‌ها می‌توانند با به‌روز رسانی به یکی از نسخه های اعلام شده محدود شوند. ماین آسیب‌پذیری‌ها می‌توانند با به‌روز رسانی به یکی از نسخه های اعلام شده محدود شوند. مشتریان مربوط به نسخه های ابری مانند AWS می بایست به نسخه مجازی VE به روز رسانی شده مهاجرت نمایند. برای مشتریانی که نتوانستند به‌روز رسانی را انجام دهند، شرکت F5 تنظیمات موقت برای محدود کردن آسیب‌پذیری برای این دسته از مشتریان منتشر کرده است. این تنظیمات روی تمام اینترفسهای شبکه، self IPs یا اینترفیس مدیریتی اثر می‌گذارد.

به‌علاوه به‌روز رسانی برای آسیب‌پذیری XSS توسط کلی‌یوچینکوف در نتظیمات BIG-IP پیدا شده است که می‌توان کد JavaScript را زمانی که کاربر با سطح دسترسی مدیر سیستم وارد شود، اجرا کرد.

منابع:

  1. F5
  2. NVD CVE-2020-5902
  3. NVD CVE-2020-5903