Nickブログ

セキュリティを中心に過ごしているNickのブログです。

BIG-IPの脆弱性「CVE-2020–5902」の注意喚起と再現

f:id:NickShadows:20210331132939p:plain
※この記事で知り得たことを悪用することは禁止とします。
 影響が大きいため、早めにアップデートすることを推奨します。

概要など

※この記事で知り得たことを悪用することは禁止とします。
 影響が大きいため、早めにアップデートすることを推奨します。


複数のBIG-IP製品には、認証なしでリモートコマンド実行できる脆弱性があります。
対象バージョンは以下になります。

  • 15.0.0-15.1.0.3
  • 14.1.0-14.1.2.5
  • 13.1.0-13.1.3.3
  • 12.1.0-12.1.5.1
  • 11.6.1-11.6.5.1


対策

  1. 最新バージョンへアップデート
  2. インターネットへの公開を停止
  3. 緩和策を実施する

緩和策はこちらになります。
https://support.f5.com/csp/article/K52145254

再現

※検証はローカルで行っています

1.脆弱性があるBIG-IPを準備する。
f:id:NickShadows:20210331131926p:plain

2.脆弱性を使用してパストラバーサルを行う。「/etc/passwd」ファイルを確認する。
f:id:NickShadows:20210331132227p:plain

3.脆弱性を使用してtmshコマンド実行を行う。
f:id:NickShadows:20210331132424p:plain


脆弱性の原因はパスの解釈の違いとなっています。
技術的な詳細はOrange TsaiがBlack Hatで発表しています。

www.slideshare.net

参考

公式
www.f5.com

JPCERT
www.jpcert.or.jp