針對F5 CVE-2020-5902 更新說明

發布日期:2021/11/17

 
日期 內容
09/Jul/2020 19:34(GMT+8) [更新]新增httpd阻擋路徑

原廠說明文件: K52145254: TMUI RCE vulnerability CVE-2020-5902
https://support.f5.com/csp/article/K52145254

說明:
漏洞的位置僅發生在F5的管理介面(包含獨立Management IP及Self IP啟用管理功能)
該漏洞允許未經認證的攻擊者或認證的用戶通過BIG-IP管理介面和/或Self IPs連線TMUI,執行任意系統命令、創建或刪除文件、禁用服務和/或執行任意Java代碼。

處理辦法:
方案一:升版至修補版本 (需考量升版風險及服務影響),官方建議版本如下:
產品 版號 影響版本 修復版本 影響內容
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM)
 		 16.x None 16.0.0 None
15.x 15.0.0 - 15.1.0 15.1.0.4 TMUI/Configuration utility
 
14.x 14.1.0 - 14.1.2 14.1.2.6 TMUI/Configuration utility
13.x 13.1.0 - 13.1.3 13.1.3.4 TMUI/Configuration utility
12.x 12.1.0 - 12.1.5 12.1.5.2 TMUI/Configuration utility
 
11.x 11.6.1 - 11.6.5 11.6.5.2 TMUI/Configuration utility
 
               

 

方案二:通過限制HTTPD的存取控制, 避免未授權的攻擊者破解漏洞

  1. 使用Terminal Tool (例如:Putty, Xshell)登入F5

連上F5管理IP的Port 22 (預設的帳號是root)

  1. 輸入指令tmsh

  1. 輸入指令edit sys httpd all-properties        
  2. 按i鍵進行編輯, 將include部分新增以下內容
  3.  

         

 

      6.按Esc鍵結束編輯, 並輸入:wq! 儲存離開

      7. 完成修改系統會出現訊息,並確認是否y(是)、n(否)與e(持續修改),並選擇y(存檔)

      8. 輸入save sys config

      9. 輸入restart sys service httpd

      #重啟httpd服務不會影響線上服務, httpdF5系統的管理介面使用

      10. 驗證方式:

      透過瀏覽器存取以網頁管理介面路徑
      https:///tmui/login.jsp/..;/login.jsp

      方案三:限制來源IP存取F5 GUI

      通過Port Lockdown以及Packet Filter管理以嚴格限制Self IPs存取控制, 其設定方式如下
      注意:此操作會限制可連線F5 GUI的來源IP,施作前需確認允許管理的來源IP
  1. 使用HTTPS連上F5 GUI

      2.至Network >> Self IPs並點選F5的Self IP
      (僅針對管理F5 GUI所使用的Self IP)

      3.可以更改每個Self IP的port lockdown設置為allow none。如果必須允許特定TCP/UDP管理用途的Port埠: 443/22/53/161/4353;則應使用Allow Custom,使其存取受管制。

      4.至Network >> Packet Filters,並啟用Packet Filtering後確認Unhandled Packet Action為Accept,並點擊下方Update

      5.至Network >> Packet Filters,並啟用Packet Filtering後確認Unhandled Packet Action為Accept,並點擊下方Update

      6.建立Allow Rule;允許管理者可以存取Self IP,如有多個Self IP,則需逐一放進Destination Host and Network List內,設定完後點選Finished;如必須允許其他網段連線Self IP,也應將其加入Source Host and Network List內

      7.建立Allow Rule;允許管理者可以存取Self IP,如有多個Self IP,則需逐一放進Destination Host and Network List內,設定完後點選Finished;如必須允許其他網段連線Self IP,也應將其加入Source Host and Network List內

  • 通過管理口嚴格限制管理網段存取, 其設定方式如下
  1. 使用Terminal Tool (例如:Putty, Xshell)登入F5

                    連上F5管理IP的Port 22 (預設的帳號是root)

      2.輸入指令tmsh

      3.輸入指令modify /sys httpd allow replace-all-with { },內輸入允許存取F5管理介面的來源IP或是網段

      4.輸入指令list /sys httpd allow以檢視限制的來源管理列表

  1. 輸入save /sys config以儲存設定

      6.當存取F5管理介面的來源IP非指定IP,存取會被拒絕

 

欲了解F5產品資訊,歡迎洽詢 零壹科技 蔡小姐 (02)2656-5777 sandra.tsai@zerone.com.tw 

 

 

返回上一頁