Vulnerabilidad de ejecución remota de código en TMUI de F5 Networks

¡Comparte este artículo, elige tu plataforma!

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on tumblr
Share on telegram
Share on email

Mucho se ha hecho eco en varios sitios de seguridad sobre la vulnerabilidad CVE-2020-5902 que afecta a la interfaz de administración de los equipos F5 y que permitiría la ejecución remota de código.

Mikhail Klyuchnikov, de Positive Technologies, notificó a F5 una vulnerabilidad, de severidad crítica, de tipo ejecución remota de código, que afecta a TMUI (Traffic Management User Interface) de F5.   

La vulnerabilidad CVE-2020-5902 es muy crítica pues permitirá a atacantes no autenticados o usuarios autenticados, con acceso a la interfaz de gestión de F5 (TMUI, ya sea mediante el puerto de management y/o SelfIPs, tomar control del equipo, ejecutar comandos, crear o borrar archivos, deshabilitar servicios, etc.)

Recursos afectados:

BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM)

Versiones:

  • 15.1.0 y 15.0.0;
  • 14.1.0 – 14.1.2;
  • 13.1.0 – 13.1.3;
  • 12.1.0 – 12.1.5;
  • 11.6.1 – 11.6.5.
 
Recomendación:

1. Actualizar los productos afectados a alguna de las siguientes versiones:

  • 15.1.0.4
  • 14.1.2.6
  • 13.1.3.4
  • 12.1.5.2
  • 11.6.5.2

2. De no ser posible por el momento la actualización, ejecutar el siguiente workaround:

– Loguearse al TMOS hell (tmsh) mediante el siguiente comando

tmsh

– Editar las propiedades de httpd ingresando el siguiente comando

edit /sys httpd all-properties

– Localizar la sección «Include” y agregar lo siguiente:

include '
<LocationMatch ".*\.\.;.*">
Redirect 404 /

'

– Guardar los cambios de la siguiente forma (si se está usando vi o vim)

Esc
:wq!

– Guardar la configuración con el siguiente comando:

save /sys config

– Reiniciar el servicio httpd con el siguiente comando:

restart sys service httpd

 

Si necesitas mitigar esta vulnerabilidad, en GigaDefense podemos apoyarte.

 

 

Referencias:

https://support.f5.com/csp/article/K52145254

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5902

Proof of Concept:

https://github.com/yassineaboukir/CVE-2020-5902

https://github.com/jas502n/CVE-2020-5902

Copyright © 2020, Gigadefense. All rights reserved