Press "Enter" to skip to content

CVE-2020-5902 F5漏洞解决方案

Last updated on 2020-07-15


CVE-2020-5902
Critical https://support.f5.com/csp/article/K52145254
漏洞描述:
在BIG-IP的管理页面(TMUI)中的某些特定页面,存在一个远程代码执行漏洞。

漏洞影响:
该漏洞允许授权用户或未授权攻击者在通过网络访问到TMUI后,执行任意的系统命令、创建或删除文件,关闭服务/执行任意的Java代码,可能完全入侵系统。该漏洞仅影响管理平面,对处理流量的数据平面没有影响。

解决方案:
方案一:版本升级至修复版本(如下表所示)


方案二:调整配置项,并完善登录权限
1. 建议参考附录一调整httpd的LocationMatch配置项,通过该方法可以避免未授权的攻击者破解漏洞。
2. 建议参考附录二加强Self IP的端口管理。
3. 建议参考附录三做好访问源控制及账户管理,确保授权账户仅能通过可信网络访问到TMUI。

附录:
 附录一Httpd配置调整方法:

1.  ssh登录后台,进入TMSH:
tmsh
2.  编辑HTTPD配置文件:
edit /sys httpd all-properties
3.  找到include none,替换为以下内容:
include '
<LocationMatch ";">
Redirect 404 /
</LocationMatch>
<LocationMatch "hsqldb">
Redirect 404 /
</LocationMatch>
'
4.  保存退出:
Esc
:wq!
5.  保存配置命令:
save /sys config
6.  重启HTTP进程(不影响业务访问)
restart sys service httpd


 附录二Self IP端口管理
阻止所有通过BIG-IP访问BIG-IP系统的TMUI。为此,可以更改每个Self IP的port lockdown设置为allow none。如果必须打开任何端口,则应使用Allow Custom,注意禁止访问TMUI。默认情况下,TMUI监听TCP端口443;但是,从BIG-IP 13.0.0开始,单NIC BIG-IP VE部署使用TCP端口8443。或者,可以配置自定义端口。
注意:这将阻止通过Self IP访问TMUI/Configuration实用程序。这些更改也可能影响其他服务。
在更改您的Self IP配置之前,请参阅以下内容:
• K17333: Overview of port lockdown behavior (12.x – 15.x)
• K13092: Overview of securing access to the BIG-IP system
• K31003634: The Configuration utility of the Single-NIC BIG-IP Virtual Edition now defaults to TCP port 8443
• K51358480: The single-NIC BIG-IP VE may erroneously revert to the default management httpd port after a configuration reload

 附录三:管理口及授权管理人员及可信网络访问设置
增加对管理口接入访问的控制权限,仅允许管理人员或者被认证授权的人员对F5设备进行管理、访问等操作,也可通过对访问源IP地址进行限制。
源IP地址进行限制的相关信息,请参阅以下内容:
• K13092: Overview of securing access to the BIG-IP system.

发表评论

电子邮件地址不会被公开。 必填项已用*标注

5 + 20 =