一 漏洞概述

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。BIG-IP提供了应用程序加速、负载均衡、速率调整、SSL卸载和Web应用程序防护功能。该产品已被许多公司使用，F5声称全球50强公司中有48家是其客户。

网络安全公司Positive Technologies的研究人员发现了BIG-IP应用交付系统（ADC）的配置接口中的一个远程代码执行漏洞（CVE-2020-5902），CVSS评分10分，攻击者可利用该漏洞完全控制目标系统。

未经身份验证的攻击者或经过身份验证的用户通过BIG-IP管理端口或IP访问TMUI，攻击者可利用该漏洞执行任意系统命令、创建或删除文件、禁用服务、执行任意的Java代码。

二 影响版本

F5 BIG-IP15.1.0、15.0.0、14.1.0-14.1.2、13.1.0-13.1.3、12.1.0-12.1.5、11.6.1-11.6.5。

三 复现过程

无

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “BIG-IP” 进行搜索，共得到 1,219,315 条 IP 历史记录，主要分布在美国等国家。

五 修复建议

目前厂商发布了该软件11.x版本，12.x版本，13.x版本，14.x版本和15.1.0版本的修复措施，15.0.0版本的修复措施暂未发布，建议用户尽快修复，具体信息如下：

临时措施：

All network interfaces

为防止未经身份验证的攻击者利用此漏洞，请将LocationMatch配置元素添加到httpd。请执行以下步骤：

注意：经过身份验证的用户将仍然能够利用此漏洞，而无需考虑其特权级别。

1.通过输入以下命令登录到TMOS Shell（tmsh）：Tmsh

2.通过输入以下命令来编辑httpd属性：edit /sys httpd all-properties

3.找到include部分并添加以下内容：include 'Redirect 404 /'

4.输入以下命令，保存到配置文件中：Esc:wq!

5.输入以下命令来保存配置：save /sys config

6.输入以下命令重新启动httpd服务：restart sys service httpd Self IPs

通过Self IPs策略阻止对BIG-IP系统TMUI的访问权限。为此，您可以将系统中每个Self IPs的Port Lockdown设置为“Allow None”。如果必须打开任意端口，则应使用Allow Custom，注意禁止访问TMUI。默认情况下，TMUI侦听TCP 443端口，但是，从BIG-IP 13.0.0版本开始，Single-NIC BIG-IP VE部署使用TCP 8443端口，也可以配置自定义端口。

注意：通过Self IP策略禁止对TMUI/Configuration程序的权限的访问，这对其他服务可能产生影响。

在更改Self IPs的配置之前，请参考以下内容：

https://support.f5.com/csp/article/K17333

https://support.f5.com/csp/article/K13092

https://support.f5.com/csp/article/K31003634

https://support.f5.com/csp/article/K51358480

Management interface

相关信息请参考：

https://support.f5.com/csp/article/K13309

https://support.f5.com/csp/article/K13092

六 时间线

F5官方发布漏洞风险通告时间：2020年7月1日

知道创宇发布漏洞情报时间：2020年7月3日

七 相关链接

F5：https://support.f5.com/csp/article/K52145254

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult/report?q=app%3A%22BIG-IP%22