首页 > 安全钻研 > 安全传递 > 安全公告

CVE-2020-5902 | F5 BIG-IP远程代码执行缝隙公告

颁布功夫 2020-07-03

0x00 缝隙概述

CVE ID	CVE-2020-5902	时间	2020-07-03
类型	RCE	等级	严沉
远程利用	是	影响领域	F5 BIG-IP15.1.0、15.0.0、14.1.0-14.1.2、13.1.0-13.1.3、12.1.0-12.1.5、11.6.1-11.6.5

0x01 缝隙详情

GA黄金甲·(中国区)官方网站

F5 BIG-IP是美国F5公司的一款集成了网络流量治理、利用法式安全治理、负载平衡等职能的利用交付平台。BIG-IP提供了利用法式加快、负载平衡、快率调整、SSL卸载和Web利用法式防护职能。该产品已被很多公司使用，F5宣称全球50强公司中有48家是其客户。

网络安全公司Positive Technologies的钻研人员发现了BIG-IP利用交付系统（ADC）的配置接口中的一个远程代码执行缝隙（CVE-2020-5902），CVSS评分10分，攻击者可利用该缝隙齐全节造指标系统。

未经身份验证的攻击者或经过身份验证的用户通过BIG-IP治理端口或IP接见TMUI，攻击者可利用该缝隙执行肆意系统号令、创建或删除文件、禁用服务、执行肆意的Java代码。

0x02 措置建议

目前厂商颁布了该软件11.x版本，12.x版本，13.x版本，14.x版本和15.1.0版本的建复措施，15.0.0版本的建复措施暂未颁布，具体如下：

GA黄金甲·(中国区)官方网站

一时措施：

? All network interfaces

为预防未经身份验证的攻击者利用此缝隙，请将LocationMatch配置元素增长到httpd。请执行以下步骤：

把稳：经过身份验证的用户将依然可能利用此缝隙，而无需思考其特权级别。

1. 通过输入以下号令登录到TMOS Shell（tmsh）：

Tmsh

2. 通过输入以下号令来编纂httpd属性：

edit /sys httpd all-properties

3. 找到include部门并增长以下内容：

include '

Redirect 404 /

4. 输入以下号令，保留到配置文件中：

Esc

:wq!

5. 输入以下号令来保留配置：

save /sys config

6. 输入以下号令沉新启动httpd服务：

restart sys service httpd

? Self IPs

通过Self IPs战术阻止对BIG-IP系统TMUI的接见权限。为此，您能够将系统中每个Self IPs的Port Lockdown设置为“Allow None”。若是必须打开肆意端口，则应使用Allow Custom，把稳不容接见TMUI。默认情况下，TMUI侦听TCP 443端口，但是，从BIG-IP 13.0.0版本起头，Single-NIC BIG-IP VE部署使用TCP 8443端口，也能够配置自界说端口。

把稳：通过Self IP战术不容对TMUI/Configuration法式的权限的接见，这对其他服务可能产生影响。

在更改Self IPs的配置之前，请参考以下内容：

https://support.f5.com/csp/article/K17333

https://support.f5.com/csp/article/K13092

https://support.f5.com/csp/article/K31003634

https://support.f5.com/csp/article/K51358480

? Management interface

有关信息请参考：

https://support.f5.com/csp/article/K13309

https://support.f5.com/csp/article/K13092

0x03 有关新闻

https://www.securityweek.com/serious-vulnerabilities-f5s-big-ip-allow-full-system-compromise?from=timeline

0x04 参考链接

https://support.f5.com/csp/article/K52145254

0x05 功夫线

2020-07-01 F5颁布安全布告

2020-07-03 VSRC颁布缝隙公告

GA黄金甲·(中国区)官方网站

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

CVE-2020-5902 | F5 BIG-IP远程代码执行缝隙公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线