上週F5 BIG-IP ADC產品被披露存在重大漏洞,企業應儘快修補,因為昨(6)日有人發現,已經有攻擊程式出現。
Positive Security研究人員發現的CVE-2020-5902為一遠端程式程式碼執行(Remote Code Execution, RCE)漏洞。它位於流量管理使用者介面(Traffic Management User Interface,TMUI)中,攻擊者可傳送惡意HTTPS開採執行TMUI的伺服器進行BIG-IP組態,不需經過授權。這個漏洞讓攻擊者得以完全控制BIG-IP裝置,包括執行任意指令、新增刪除檔案、或執行任意Java程式程式碼,甚至進入企業網路其他部分。其危險程度使其在CVSS 3.0風險評分表中拿下最高分的10分。
Positive Security另外還發現TMUI裡另一中度風險的跨網站指令執行(XSS)漏洞,編號CVE-2020-5903。CVE-2020-5902、CVE-2020-5903影響BIG-IP的多個版本軟體,F5已經發布更新版本。
英國安全廠商NCC Group研究人員Rich Warren昨日指出從7月4日起,該公司誘捕系統已偵測到大量RCE攻擊,它們使用公開Metasploit模組組合或以Python撰寫而成。Warren對ZDNet解釋,這些程式大部分都是惡意程式,主要意在竊取受害裝置的管理員密碼。
他們還發現大量企圖掃描BIG-IP傳輸介面的掃描程式來自中國。此外還有像是Mirai變種的DvrHelper蠕蟲,以及一些挖礦程式等。
另一名代號為Rapid Safeguard的研究人員則公開了本地檔案包含(Local File Include,LFI)及RCE攻擊的概念驗證程式,攻擊者只要傳送一個推文,即可在受害機器上抓取檔案或執行指令。
基於編號CVE-2020-5902的危險性,美國網路作戰指揮部(US CyberCommand)也在上週發出警告呼籲BIG-IP使用者儘快升級軟體,千萬不要因美國國慶日而延遲。