在安全研究人员发现其软件中的两个严重漏洞之后,F5已为其BIG-IP应用交付控制器发布了补丁。
漏洞被跟踪为CVE-2020-5902和CVE-2020-5903,位于称为“流量管理用户界面”的配置工具中,利用这些漏洞可以使攻击者获得对易受攻击设备的完全管理员控制。
第一个漏洞的CVSS得分为10(十分之十),使F5的网络设备面临任意代码执行的风险,第二个漏洞的CVSS得分为7.5,并且是基于JavaScript的跨站点脚本(XSS)漏洞。
使这些缺陷特别引起关注的原因是,许多大型企业使用BIG-IP装置来处理往来于关键应用程序的流量。成功利用这些漏洞的攻击对于许多F5客户而言,可能是灾难性的。
这些漏洞本身是由Positive Technologies的高级Web应用程序安全研究人员Mikhail Klyuchnikov首次发现的,他在博客文章中提供了有关这些漏洞的进一步见解。
通过利用此漏洞,具有BIG-IP配置实用程序访问权限的远程攻击者可以在未经授权的情况下执行远程代码执行。攻击者可以创建或删除文件,禁用服务,拦截信息,运行任意系统命令和Java代码,完全破坏系统,以及追求其他目标,例如内部网络。在这种情况下,RCE是由多个组件中的安全漏洞导致的,例如允许目录遍历的组件。对于在Shodan等搜索引擎上列出了F5 BIG-IP Web界面的公司而言,这尤其危险。幸运的是,大多数使用该产品的公司都无法通过互联网访问该界面。
建议网络管理员尽快更新其固件,可以避免成为利用这两个漏洞的任何潜在攻击的受害者。
该漏洞存在于BIG-IP版本11到15,并使用该公司的网络设备可以找到关于如何在这个补丁它们更细节的安全公告以及这一个从F5 Networks公司。