Эксперт Positive Technologies Михаил Ключников обнаружил критическую уязвимость в конфигурационном интерфейсе популярного контроллера доставки приложений BIG-IP, который применяют крупнейшие компании мира. Эксплуатируя этот баг, злоумышленник мог выполнять команды от лица неавторизованного пользователя и полностью скомпрометировать систему, например, перехватить трафик веб-ресурсов, которым управляет контроллер. Атака могла быть реализована удаленно.
Аналитики Positive Technologies подсчитали, что на конец июня 2020 года в мире насчитывалось свыше 8000 уязвимых устройств, доступных из интернета, из них 40% — в США, 16% — в Китае, 3% — на Тайване, по 2,5% — в Канаде и Индонезии. В России было обнаружено менее 1% уязвимых устройств.
Обнаруженная уязвимость получила идентификатор CVE-2020-5902 и набрала 10 баллов по шкале CVSS, что соответствует наивысшему уровню опасности. Для эксплуатации уязвимости атакующий должен отправить специально сформированный HTTP-запрос на сервер, где расположен Traffic Management User Interface (TMUI), также известный как «конфигурационная утилита системы BIG-IP».
«Эта уязвимость дает возможность удаленному злоумышленнику, в том числе не прошедшему проверку подлинности, но имеющему доступ к конфигурационной утилите BIG-IP, выполнить произвольный код в программном обеспечении (RCE). В результате атакующий сможет создавать или удалять файлы, отключать службы, перехватывать информацию, выполнять произвольные системные команды и произвольный Java-код, полностью скомпрометировать систему и развить атаку, например на внутренний сегмент сети, — отметил Михаил Ключников. — К RCE приводит совокупность недостатков безопасности нескольких компонентов системы (например, выход за пределы каталога). Особой опасности подвергаются компании, у которых веб-интерфейс F5 BIG-IP можно обнаружить в специальных поисковых системах, таких как Shodan, но надо отметить, что необходимый интерфейс доступен из глобальной сети далеко не у всех компаний-пользователей».
Для устранения уязвимости необходимо обновить систему до последней версии: уязвимые версии BIG-IP (11.6.x, 12.1.x, 13.1.x, 14.1.x, 15.0.x, 15.1.x) следует заменить на версии, в которых уязвимость устранена (BIG-IP 11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6, 15.1.0.4). Для пользователей публичных облачных маркетплейсов (AWS, Azure, GCP и Alibaba) необходимо использовать версии BIG-IP Virtual Edition (11.6.5.2, 12.1.5.2, 13.1.3.4, 14.1.2.6 или 15.1.0.4) при условии их наличия на этих рынках. Остальные рекомендации можно найти в официальном бюллетене безопасности F5 BIG-IP.
Кроме того, компания F5 устранила и вторую уязвимость в конфигурационном интерфейсе BIG-IP, так же обнаруженную Михаилом Ключниковым. Уязвимость имеет идентификтор CVE-2020-5903, 7.5 баллов по шкале CVSS и относится к классу XSS. Злоумышленник может использовать эту ошибку для исполнения вредоносного JavaScript-кода от имени пользователя, вошедшего в систему. Если пользователь обладает привилегиями администратора, имеющего доступ к Advanced Shell (bash), успешная эксплуатация уязвимости может привести к полной компрометации системы BIG-IP посредством удаленного выполнения кода. Подробности и рекомендации по устранению бага можно найти в уведомлении компании F5.
