متخصص امنیتی تیم PT یک باگ امنیتی بحرانی در BIG-IP شناسایی نموده است که شرکت F5 بهروز رسانی برای این باگ بحرانی RCE را منتشر نموده است. این آسیبپذیری در TMUI(Traffic Management User Interface) نرمافزار ADC(Application Delivery Controller) است.
شناسه آسیبپذیری:
CVE-2020-5902, CVE-2020-5903
درجه آسیبپذیری:
For both vulnerabilities:
۹.۸ Critical
سیستمهای آسیبپذیر:
CVE-2020-5902:
BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1, and 11.6.1-11.6.5.1
CVE-2020-5903:
BIG-IP versions 15.0.0-15.1.0.3, 14.1.0-14.1.2.5, 13.1.0-13.1.3.3, 12.1.0-12.1.5.1
سال شناسایی: ۲۰۲۰
توضیحات:
مشتریان بسیاری از نرمافزار و سختافزار نسخههای شرکتی BIG-IP استفاده میکنند که می توان شرکتها، بانکها، سرویس دهندهها و شرکتهای معروفی مانند مایکروسافت، اوراکل و فیسبوک را نام برد. ۴۸ شرکت از ۵۰ شرکت در لیست Fortune از F5 استفاده میکنند و اعتماد به این محصول دارند. به مشتریان توصیه شده است که هرچه سریعتر بهروز رسانی تجهیزات F5 را انجام دهند و آسیبپذیری CVE-2020-5902 و CVE-2020-5903 نباید مدت طولانی روی تجهیزات باقی بماند.
باگدشت در این صفحه به بررسی این آسیبپذیری در BIG-IP می پردازد
این آسیبپذیری توسط میخایل کلییوچینکوف(Mikhail Klyuchnikov) محقق امنیتی Positive Technologies پیدا شده است. شدت آسیبپذیری CVE-2020-5902 در مرحله اول ۱۰ از ۱۰ برای CVSSv3 در نظر گرفته شده است. میخایل کلییوچینکوف اعلام کرد با اکسپلویت آسیبپذیری حمله کننده به تنظیمات BIG-IP دسترسی دارد و بدون احراز هویت میتواند RCE اجرا کند.
آسیبپذیری CVE-2020-5902 به حمله کننده ناشناس یا کاربر ناشناس اجازه اجرای دستور دلخواه Java میدهد و از این طریق میتواند فایل را پاک یا ایجاد کند و همچنین سرویسها را غیرفعال کند که طریق پورت مدیریت BIG-IP(Self IPs) این کار را انجام میدهد. برای اکسپلویت آسیبپذیری امنیتی، حمله کننده درخواست HTTP مخرب به تنظیمات سرورهای TMUI برای BIG-IP میفرستد.
اکسپلویت آسیبپذیری موفق منجر به آسیب کامل به سیستم که شامل شنود ترافیک نرمافزار کنترلی و عملیاتهای بعدی در داخل شبکه میشود. طبق نظر F5 سیستمهای BIG-IP در نسخه Appliance هم آسیبپذیر هستند. این مشکل امنیتی بر روی ترافیک دیتا وجود ندارد و فقط روی ترافیک کنترلی تاثیر گذاشته است.
این آسیبپذیریها میتوانند با بهروز رسانی به یکی از نسخه های اعلام شده محدود شوند. ماین آسیبپذیریها میتوانند با بهروز رسانی به یکی از نسخه های اعلام شده محدود شوند. مشتریان مربوط به نسخه های ابری مانند AWS می بایست به نسخه مجازی VE به روز رسانی شده مهاجرت نمایند. برای مشتریانی که نتوانستند بهروز رسانی را انجام دهند، شرکت F5 تنظیمات موقت برای محدود کردن آسیبپذیری برای این دسته از مشتریان منتشر کرده است. این تنظیمات روی تمام اینترفسهای شبکه، self IPs یا اینترفیس مدیریتی اثر میگذارد.
بهعلاوه بهروز رسانی برای آسیبپذیری XSS توسط کلییوچینکوف در نتظیمات BIG-IP پیدا شده است که میتوان کد JavaScript را زمانی که کاربر با سطح دسترسی مدیر سیستم وارد شود، اجرا کرد.