Krytyczne podatności RCE w serwerach F5 BIG-IP

Na czym polega podatność?

Nieuwierzytelniony atakujący może zdalnie wykorzystać tę lukę, wysyłając złośliwie spreparowane żądanie HTTP do podatnego serwera hostującego narzędzie Traffic Management User Interface (TMUI) używane do konfiguracji BIG-IP. Udane użycie podatności może pozwolić atakującym na uzyskanie pełnej kontroli administracyjnej nad urządzeniem, co ostatecznie może spowodować wykonanie dowolnej komendy na zaatakowanym urządzeniu bez żadnej autoryzacji. Poniżej przedstawiono schemat połączeń:

„Atakujący może tworzyć lub usuwać pliki, wyłączać usługi, przechwytywać informacje, uruchamiać dowolne polecenia systemowe i kod Java, całkowicie skompromitować cały system i dążyć do dalszych celów, takich jak dostęp do sieci wewnętrznej”, powiedział Klyuchnikov, odkrywca podatności.

Według stanu na czerwiec 2020 r. ponad 8 000 urządzeń zostało zidentyfikowanych online, bezpośrednio narażonych na działanie z Internetu, z czego 40% w Stanach Zjednoczonych, 16% w Chinach, 3% na Tajwanie, 2,5% w Kanadzie i Indonezji.

Oprócz tego, Klyuchnikov zgłosił także drugą lukę w zabezpieczeniach XSS – CVE-2020-5903 w interfejsie konfiguracyjnym BIG-IP, który może pozwolić zdalnym atakującym na uruchamianie złośliwego kodu JavaScript jako zalogowany administrator. „Jeśli użytkownik ma uprawnienia administratora i dostęp do Advanced Shell (bash), udana eksploitacja może doprowadzić do pełnej kompromitacji BIG-IP przez RCE” – powiedział specjalista.

Podatne wersje i poprawki

Wersje BIG-IP, których dotyczy podatność to: 11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x. Zdecydowanie zalecane są aktualizacje do wersji: 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6, 15.1.0.4 jak najszybciej. Ponadto użytkownikom publicznych platform chmurowych, takich jak AWS, Azure, GCP i Alibaba, zaleca się również przejście na wersje BIG-IP Virtual Edition (VE) 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1. 2.6, 15.0.1.4 lub 15.1.0.4, gdy tylko będą dostępne.