链资讯 链资讯
Ctrl+D收藏链资讯
首页 > Bitcoin > 正文

FILE:CertiK:深度解析F5 BIG-IP远程代码执行漏洞-ODAILY_https://etherscan.io

作者:

时间:

前言

今日一早起来推特以及各大技术论坛上炸开了锅,安全圈子的人都在讨论F5设备里远程代码执行的漏洞。很多讨论的内容,大部分是在分享如何寻找目标,利用漏洞,并没有关于对漏洞成因的分析。CertiK的安全研究员下载了存在漏洞的程序,搭建环境复现漏洞后,对漏洞的起因进行了分析,并在下文分享给大家。

背景

F5BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。PositiveTechnologies的研究人员MikhailKlyuchnikov发现其配置工具TrafficManagementUserInterface中存在远程代码执行漏洞,CVE编号为CVE-2020-5902。该漏洞CVSSv3评分为10分,攻击者可利用该漏洞创建或删除文件,关闭服务、执行任意的系统命令,最终获得服务器的完全控制权。CVE具体表述请查看文章底部参考链接1。

受影响的BIG-IP软件版本

漏洞利用

读取任意文件:

curl-k'https:///tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd'

金色财经合约行情分析 | BTC震荡缓慢下跌,市场做多情绪受到压制:据火币BTC永续合约行情显示,截至今日18:00(GMT+8),BTC价格暂报11710美元(-2.38%),20:00(GMT+8)结算资金费率为0.029290%。

BTC昨晚6点在12000美元受阻,瞬时放量下跌500美元,后又迅速反弹。目前在11900美元下方呈现高点逐渐降低的震荡下跌走势。根据火币交割合约数据,BTC当季合约成交额小幅上涨,持仓量在下跌过程中有一定幅度的释放,精英多头占比略增,当季合约正溢价小幅下降。今日各主流币种普遍震荡缓慢下跌,市场做多情绪在多次上攻后被消磨,后续需要进一步进行整理。

USDT于火币全球站OTC的报价为6.92元,溢价率为-0.42%。[2020/8/11]

远程执行tmsh命令:

curl-k'https:///tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin'

官方给出的临时修复方案(后文会对修复进行分析):

漏洞复现

合约行情分析:主流币凌晨大跌 目前恐慌情绪缓解:据火币BTC永续合约行情显示,截至今日17:00(GMT+8),BTC价格暂报9039美元(-1.36%),20:00(GMT+8)结算资金费率为0.010000%。

昨日晚BTC在9000美元上方窄幅盘整,于凌晨短时下探8800美元,而其他主流币出现大幅的下跌。根据火币交割合约数据,BTC当季合约成交额上涨,持仓量增加,精英多头占比略减,当季合约溢价几乎为0。BTC目前反弹至9000美元上方,恐慌情绪有所缓解。

USDT于火币全球站OTC的报价为7.02元,溢价率为-0.81%。[2020/6/28]

在F5的官网注册账号之后,可以从F5的资源库中下载存在漏洞的BIG-IP软件。访问参考链接2可以下载BIG-IPTMOS(TrafficManagementOperatingSystem,流量管理操作系统)的虚拟机镜像。CertiK技术团队因为使用VmwareFusion,下载的是“BIGIP-15.0.0-0.0.39.ALL_1SLOT-vmware.ova-ImagefilesetforVMwareESX/iServer”。

在VmwareFusion中加载镜像(import):

6月24日合约行情分析:BTC下跌至9500美元附近盘整:据火币BTC永续合约行情显示,截至今日17:00(GMT+8),BTC价格暂报9518美元(-1.00%),20:00(GMT+8)结算资金费率为0.010000%。

昨日至今BTC在9500美元上方震荡,以ETH为代表的部分主流币今日中午出现上涨行情,下午大跌使涨幅被抹平。根据火币交割合约数据,BTC当季合约成交额略减,持仓量继续增加,精英多头占比稳定,当季合约保持窄幅溢价。BTC目前在9500附近盘整,此次行情持仓量持续上升,投资者需控制仓位注意风险。USDT于火币全球站OTC的报价为7.02元,溢价率为-0.79%。[2020/6/24]

加载完成之后,使用默认用户名密码登陆系统:

用户名:root

密码:default

系统初始化之后,使用”ifconfig”命令查询虚拟机IP地址。CertiK技术团队的BIG-IPTMUI虚拟机IP地址为”172.16.4.137”。

在浏览器中访问BIG-IPTMUI登陆界面:

https://172.16.4.137/tmui/login.jsp

mStable:mUSD已被列入Balancer Labs白名单:稳定币聚合协议mStable发推称,mUSD已被列入Balancer Labs白名单,现在有资格获得BAL奖励。

此前消息,mStable发文介绍其协议代币Meta(MTA),MTA主要有三个功能:1. 作为再担保(保险)的最终来源;2. 协调mStable的去中心化治理;3. 激励mStable的资产流动性、效用和社区治理。目前仅功能3可用,功能1和功能2将在协议第二阶段启用。首个MTA生态系统奖励池已在Balancer上运行,通过向Balancer的mUSD/USDC流动池做贡献,每周可获得50000 MTA的份额,以及向该流动池支付的所有BAL奖励。[2020/6/28]

复现任意文件读取:

在浏览器中访问以下地址可以读取”/etc/passwd”文件内容:

https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

复现tmsh命令执行:

动态 | “更新regproducer李嘉图合约”的提案已通过:今日,EOS42 发起的提案“更新regproducer李嘉图合约”已通过并顺利执行。该提案通过 regproducer 合约中约定的标准来实现出块节点问责制,其最终目标是为了确保基础设施的性能能够具备稳定性,能够为 dApps 提供可靠的支持,并且为 EOS 区块链提供保护。 (IMEOS)[2019/8/11]

https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin

漏洞分析

在进入漏洞分析前,先要明确一点:漏洞利用中的fileRead.jsp和tmshCmd.jsp文件在用户登陆后本身是可以被访问的。

下面的截图显示了登陆前和登陆后访问以下URL的区别:

https://172.16.4.137/tmui/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

登陆前访问:

被跳转回登陆界面

输入账号密码登陆管理界面之后再访问,可执行fileRead.jsp读取文件。

fileRead.jsp和tmshCmd.jsp虽然是在PoC中最终被利用的文件,但是他们并不是漏洞的起因。此漏洞的本质是利用Apache和后台Java(tomcat)对URL的解析方式不同来绕过登陆限制,在未授权的情况下,访问后台JSP模块。CertiK技术人员第一次注意到此类型漏洞是在2018年Orange的BlackHat演讲:“BreakingParserLogicTakeYourPathNormalizationOffandPop0DaysOut”.这里可以查看演讲稿件(参考链接2)。

这里我们可以理解在F5BIG-IP的后台服务器对收到了URL请求进行了两次的解析,第一次是httpd(Apache),第二次是后一层的Java(tomcat).

在URL在第一次被Apache解析时,Apache关注的是URL的前半段https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

当Apache在看见前半段是合法URL且是允许被访问的页面时,就把它交给了后面的第二层。Apache在这里完全把URL里面关键的/..;/给无视了。

在URL在第二次被解析时,后面的Java(tomcat)会把/..;/理解为,向上返回一层路径。此时,/login.jsp/和/..;/会抵消掉。Tomcat看到的真正请求从

https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

变成了:

https://172.16.4.137/tmui/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

再来fileRead.jsp并没有对收到的请求进行身份验证,后台因此直接执行fileRead.jsp,读取并返回了/etc/passwd文件的内容。

根据以上的思路,其实可以找出别的利用漏洞的URL,比如:

https://172.16.4.137/tmui/tmui/login/legal.html/..;/..;/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

这里“https://172.16.4.137/tmui/tmui/login/legal.html”和之前的“login.jsp”一样,是一个不需要登陆就能访问的页面。但是因为要向上返回两次,需要用两个/..;/来抵消掉”/login/legal.html”。

回到开头提到的官方给出的临时修复方案,修复方案的本质是在httpd的配置中添加以下规则:

include'

<LocationMatch".*\\.\\.;.*">

Redirect404/

</LocationMatch>

'

这个规则的意思是,当http服务器在监测到URL中包含..;(句号句号分号)的时候,直接返回404.这样利用漏洞的请求就没办法到达后台(第二层)了。

如何避免漏洞:

此漏洞的利用方式在网络上公开之后,因为它的攻击成本低廉,大批黑客都开始图谋利用此漏洞攻击使用F5BIG-IP产品的系统。黑客只需要付出极小的代价就能获得目标系统的控制权,对系统产生巨大的破坏。

俗话说:“不怕贼偷,就怕贼惦记”。即便这样的黑客攻击事件这次没有发生在你身上,不代表你是安全的。因为很有可能黑客的下一个目标就是你。

而Certik的专业技术团队会帮你彻底打消这种“贼惦记”的担忧。CertiK专业渗透测试团队会通过对此类事件的监测,第一时间给客户提交漏洞预警报告,帮助客户了解漏洞细节以及防护措施。此举可以确保客户的系统不受攻击并且不会遭受财产损失。

同时作为一名安全技术人员,在新漏洞被发现的时,不仅需要知道漏洞是如何被黑客利用的,更要去探寻漏洞背后的原因,方可积累经验,更加有能力在复杂的系统中发现隐藏的漏洞。

CertiK以及其技术人员,将永远把安全当做信仰,与大家一同学习并一同成长。

参考链接

1.https://cve.mitre.org/

2.https://downloads.f5.com/

3.https://i.blackhat.com/

标签:FILETPSNAMEBTCFilecoin 12Monthhttps://etherscan.ioEthereum Name ServiceMYBTC价格

Bitcoin热门资讯
比特币:多个震荡区间的打破,后市如何-ODAILY_MAC

昨天至今天的9点,比特币24小时净流入5.47亿美元,其中主力净流入1.9亿美元,散户净流入3.57亿美元.

比特币:通道已破位,多军确立了吗?-ODAILY_300

今日行情分析: 比特币如我们前天的文章判断一样,行情已经面临尾声即将会出现新的方向,我们在前天的文章也提到行情大致在9050附近开始厮杀,行情最低也是到了9100附近开始上行,基本差不多.

BTC:行情分析:比特币还是最被低估的标的-ODAILY_ETH

市场要闻 1、英国、瑞士等央行明日将讨论CBDC及基础设施设计2、巴西多家加密交易所签署新的自我监管守则3、外媒:印度加密资产业务正在蓬勃发展4、比特币市值超过美国银行排在PayPal之后金色财.

区块链:获央视报道,欧科云链打造区块链人才培养“新范本”-ODAILY_GAR

区块链产业正迎来新的发展机遇。2020年以来,北京、湖南、贵州、海南、江苏、河北等多个省级行政区分别出台区块链专项发展政策,一方面拓展区块链在金融、政务、制造等领域的应用场景,另一方面积极开展各.

ILK:MiL.k:连接生活服务、旅游和休闲的一站式奖励平台-ODAILY_ROOBEE

大家好,我是MiL.k项目的国际业务主管SamuelYun。很高兴今天来币乎做AMA。作为一个区块链平台,MiL.k愿景就是成为全球服务平台。既然说到全球,那么中国毫无疑问就是我们的重点之一.

BTC:比特币大行情向空,跌破9000还是问题吗?-ODAILY_SDT

行业资讯 1.集团InfraudOrganization创始人已认罪,业务涉及数字货币交易;2.山东港口青岛港通过区块链推动进口提货数字化;3.调查:大规模的数据盗窃活动致使多个加密域名面临.