Mehrere F5-Produkte, welche das Traffic Management User Interface (TMUI) nutzen, sind von einer SEVERITY 10 Schwachstelle (CVE-2020-5902) betroffen. Das User Interface wird üblicherweise von authentifizierten Benutzern dazu benutzt, um die Systeme zu managen.
Forscher haben jedoch einen Weg mittels einer “one-line payload” in einer URL gefunden, die Authentifizierung zu umgehen.
Diese erlaubt es einem Angreifer, Code (view, delete, upload, execute) remote als root an verwundbaren Systemen auszuführen.
LTM, AAM, AFM, Analytics, APM, ASM, DNS, FPS, GTM, Link Controller, PEM in folgenden Versionen:
Verwundbar sind übrigens Systeme die auf Linux und auch auf Windows laufen!
Mittels Shodan und Google lassen sich potentiell verwundbare Systeme aufspüren, Beispiel:
Root Cause
Fundamental ist die CVE-2020-5902 eine Path Traversal Schwachstelle. GitHub verfügt schon über an die 400 PoCs und auch ein Metasploit Modul ist bereits veröffentlicht.
Um die Schwachstelle zu schließen, muss das System entweder gepatcht werden oder mittels der TSMH Shell folgende Konfiguration gesetzt werden:
edit der /sys httpd all-properties
einfügen der folgenden Payload:
include ‘
<LocationMatch “.*\.\.;.*”>
Redirect 404 /
</LocationMatch>
dan speichern über save /sys config
Als weiterer Best Practice sollte externer Zugriff zum TMUI Konfigurations Dienst eingeschränkt werden.
Mit unserem Pentest-as-a-Service Managed Service lösen wir bei betroffenen Systemen automatisiert Emerging-Scans aus und melden Schwachstellen ggf. proaktiv an das Cyberdefence-Center unserer Kunden.
Somit reduziert sich die Attack-Surface der exponierten Dienste um ein vielfaches.