Mucho se ha hecho eco en varios sitios de seguridad sobre la vulnerabilidad CVE-2020-5902 que afecta a la interfaz de administración de los equipos F5 y que permitiría la ejecución remota de código.
Mikhail Klyuchnikov, de Positive Technologies, notificó a F5 una vulnerabilidad, de severidad crítica, de tipo ejecución remota de código, que afecta a TMUI (Traffic Management User Interface) de F5.
La vulnerabilidad CVE-2020-5902 es muy crítica pues permitirá a atacantes no autenticados o usuarios autenticados, con acceso a la interfaz de gestión de F5 (TMUI, ya sea mediante el puerto de management y/o SelfIPs, tomar control del equipo, ejecutar comandos, crear o borrar archivos, deshabilitar servicios, etc.)
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM)
1. Actualizar los productos afectados a alguna de las siguientes versiones:
2. De no ser posible por el momento la actualización, ejecutar el siguiente workaround:
– Loguearse al TMOS hell (tmsh) mediante el siguiente comando
tmsh
– Editar las propiedades de httpd ingresando el siguiente comando
edit /sys httpd all-properties
– Localizar la sección «Include” y agregar lo siguiente:
include '
<LocationMatch ".*\.\.;.*">
Redirect 404 /
'
– Guardar los cambios de la siguiente forma (si se está usando vi o vim)
Esc
:wq!
– Guardar la configuración con el siguiente comando:
save /sys config
– Reiniciar el servicio httpd con el siguiente comando:
restart sys service httpd
https://support.f5.com/csp/article/K52145254
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5902