Positive Technologies
Новости

F5 устранила опасные уязвимости в контроллере доставки приложений BIG-IP, которые обнаружила компания Positive Technologies

Эксперт Positive Technologies Михаил Ключников выявил критически опасную уязвимость в конфигурационном интерфейсе популярного контроллера доставки приложений BIG-IP, который применяют крупнейшие компании мира. Использовав эту ошибку, злоумышленник мог получить возможность выполнения команд от лица неавторизованного пользователя и полностью скомпрометировать систему, например перехватить трафик веб-ресурсов, которым управляет контроллер. Атака может быть реализована удаленно.

В ходе мониторинга актуальных угроз (threat intelligence) эксперты Positive Technologies выяснили, что на конец июня 2020 года в мире насчитывалось свыше 8 тысяч уязвимых устройств, доступных из интернета, из них 40% — в США, 16% — в Китае, 3% — на Тайване, по 2,5% — в Канаде и Индонезии. В России было обнаружено менее 1% уязвимых устройств.

Уязвимость с идентификатором CVE-2020-5902 получила оценку 10 баллов по шкале CVSS, что соответствует наивысшему уровню опасности. Для эксплуатации уязвимости атакующий должен отправить специально сформированный HTTP-запрос на сервер, где расположен Traffic Management User Interface (TMUI), также известный как «конфигурационная утилита системы BIG-IP».

«Эта уязвимость дает возможность удаленному злоумышленнику, в том числе не прошедшему проверку подлинности, но имеющему доступ к конфигурационной утилите BIG-IP, выполнить произвольный код в программном обеспечении (RCE¹). В результате атакующий сможет создавать или удалять файлы, отключать службы, перехватывать информацию, выполнять произвольные системные команды и произвольный Java-код, полностью скомпрометировать систему и развить атаку, например на внутренний сегмент сети, отметил Михаил Ключников. — К RCE приводит совокупность недостатков безопасности нескольких компонентов системы (например, выход за пределы каталога). Особой опасности подвергаются компании, у которых веб-интерфейс F5 BIG-IP можно обнаружить в специальных поисковых системах, таких как Shodan, но надо отметить, что необходимый интерфейс доступен из глобальной сети далеко не у всех компаний-пользователей».

Для устранения уязвимости необходимо обновить систему до последней версии: уязвимые версии BIG-IP (11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x) следует заменить на версии, в которых уязвимость устранена (BIG-IP 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6, 15.1.0.4). Для пользователей публичных облачных маркетплейсов (AWS, Azure, GCP и Alibaba) необходимо использовать версии BIG-IP Virtual Edition (VE) 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6 или 15.1.0.4) при условии их наличия на этих рынках. Остальные рекомендации приведены в уведомлении F5 BIG-IP.

Кроме того, компания F5 устранила и вторую уязвимость в конфигурационном интерфейсе BIG-IP, обнаруженную Михаилом Ключниковым. Уязвимость CVE-2020-5903 с оценкой 7.5 относится к классу XSS. Злоумышленник может использовать эту ошибку для исполнения вредоносного JavaScript-кода от имени пользователя, вошедшего в систему. В случае пользователя с привилегиями администратора, имеющего доступ к Advanced Shell (bash), успешная эксплуатация этой уязвимости может привести к полной компрометации системы BIG-IP посредством удаленного выполнения кода. Подробности и рекомендации по устранению представлены в уведомлении компании F5.

Также для блокировки атак, в которых эксплуатируются такие уязвимости, как CVE-2020-5902 и CVE-2020-5903, компании могут использовать межсетевые экраны уровня приложений, например PT Application Firewall.

  1. Уязвимость класса Remote Code Execution является одной из самых опасных угроз по классификации OWASP. Возможность удаленного выполнения кода на сервере в 100% случаев приводит к взлому ресурса.