Primera versión | CertiK: análisis en profundidad de la vulnerabilidad de ejecución remota de código F5 BIG-IP

Temprano esta mañana, Twitter y varios foros técnicos explotaron, y la gente en el círculo de seguridad estaba discutiendo la vulnerabilidad de ejecución remota de código en los dispositivos F5. El contenido de muchas discusiones se trata principalmente de compartir cómo encontrar objetivos y explotar vulnerabilidades, y no hay un análisis de las causas de las vulnerabilidades. Los investigadores de seguridad de CertiK descargaron el programa vulnerable, crearon un entorno para reproducir la vulnerabilidad, analizaron la causa de la vulnerabilidad y se lo compartieron a continuación. F5 BIG-IP es una plataforma de entrega de aplicaciones de F5 Corporation de los Estados Unidos que integra funciones tales como administración de tráfico de red, administración de seguridad de aplicaciones y equilibrio de carga. Mikhail Klyuchnikov, investigador de Positive Technologies, descubrió una vulnerabilidad de ejecución remota de código en su herramienta de configuración Traffic Management User Interface (TMUI), con el número CVE CVE-2020-5902. La puntuación CVSSv3 de esta vulnerabilidad es de 10. Los atacantes pueden usar esta vulnerabilidad para crear o eliminar archivos, cerrar servicios, ejecutar comandos arbitrarios del sistema y, finalmente, obtener el control total del servidor. Para la expresión específica de CVE, consulte el enlace de referencia 1 en la parte inferior del artículo. Versiones de software BIG-IP afectadas [15.0.0-15.1.0.3] [14.1.0-14.1.2.5] [13.1.0-13.1.3.3] [12.1.0-12.1.5.1] [11.6.1-11.6] . 5.1] Explotación de vulnerabilidad para leer archivos arbitrarios: curl-k 'https://[F5 Host]/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc / passwd'ejecutar remotamente el comando tmsh: curl -k 'https://[F5 Host]/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+ auth+ usuario+administrador'Plan de reparación temporal oficial (la reparación se analizará más adelante):   Huobi Global actualizará los productos y servicios HB10 y ETP a las 18:00-18:15 el 2 de noviembre: el funcionario de Huobi acaba de anunciar que Huobi Global actualizará los servicios relacionados de los productos HB10 y ETP de 18:00 a 18:15 el 2 de noviembre (la duración estimada es de 15 minutos). Las transacciones y los activos durante el período no se verán afectados. [2020/11/2 11:25:52] Recurrencia de vulnerabilidad Después de registrar una cuenta en el sitio web oficial de F5, puede descargar el software BIG-IP con vulnerabilidades de la biblioteca de recursos de F5. Visite el enlace de referencia 2 para descargar la imagen de la máquina virtual de BIG-IP TMOS (Sistema operativo de gestión de tráfico, sistema operativo de gestión de tráfico). El equipo técnico de CertiK descargó "BIGIP-15.0.0-0.0.39.ALL_1SLOT-vmware.ova-Image fileset for VMware ESX/i Server" debido al uso de Vmware Fusion. Cargue la imagen (importar) en Vmware Fusion: Después de cargar, use el nombre de usuario y la contraseña predeterminados para iniciar sesión en el sistema: Nombre de usuario: raíz Contraseña: predeterminada Después de inicializar el sistema, use el comando "ifconfig" para consultar la dirección IP de la maquina virtual La dirección IP de la máquina virtual BIG-IP TMUI del equipo técnico de CertiK es "172.16.4.137". Acceda a la interfaz de inicio de sesión de BIG-IP TMUI en el navegador: https://172.16.4.137/tmui/login.jsp Reproduzca cualquier lectura de archivo: acceda a la siguiente dirección en el navegador para leer el contenido del archivo "/etc/passwd" : https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd CMO de Udun Wallet: El plan de actualización de la marca Udun Wallet se lanzará en el futuro cercano: El CMO de Youdun Wallet, Meng Chundong, declaró recientemente que para mejorar aún más el servicio completo de Youdun Wallet, el equipo de marketing de Youdun Wallet lanzará el plan de actualización de la marca de Youdun Wallet. marketing para usuarios de Youdun Wallet Promoción, anuncio de matriz de medios de tráfico global, operación de evento/evento, servicio de big data, para crear un modelo de cooperación con el cliente que integre la arquitectura empresarial y la respuesta rápida. Youdun Wallet es un sistema global de gestión de activos digitales de nivel empresarial que brinda acceso API para más de 100 monedas como Bitcoin y Ethereum; actualmente, la cantidad de usuarios registrados de Youdun Wallet ha superado los 1500+, y la cantidad de usuarios que pagan es tan alto como 800+. [2020/9/13] Reproduzca la ejecución del comando tmsh: https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin Vulnerabilidad análisis Antes de ingresar al análisis de vulnerabilidad, una cosa debe quedar clara: se puede acceder a los archivos fileRead.jsp y tmshCmd.jsp en el exploit de vulnerabilidad después de que el usuario inicie sesión. La siguiente captura de pantalla muestra la diferencia entre acceder a la siguiente URL antes y después de iniciar sesión: https://172.16.4.137/tmui/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd Acceso antes de iniciar sesión: redirigido atrás Ingrese el Contraseña de la cuenta en la interfaz de inicio de sesión para iniciar sesión en la interfaz de administración antes de acceder, y se puede ejecutar fileRead.jsp para leer el archivo. Aunque fileRead.jsp y tmshCmd.jsp son los archivos que finalmente se explotan en el PoC, no son la causa de la vulnerabilidad. La esencia de esta vulnerabilidad es eludir la restricción de inicio de sesión utilizando los diferentes métodos de análisis de URL entre Apache y Java en segundo plano (tomcat), y acceder al módulo JSP en segundo plano sin autorización. Los técnicos de CertiK notaron por primera vez este tipo de vulnerabilidad en el discurso BlackHat de Orange en 2018: "Breaking Parser Logic Take Your Path Normalization Off and Pop 0Days Out". Puede ver la transcripción del discurso aquí (enlace de referencia 2). Aquí podemos entender que el servidor de fondo de F5 BIG-IP analiza dos veces la solicitud de URL recibida, la primera vez es httpd (Apache) y la segunda es Java (tomcat) de la última capa. analizado por Apache, Apache presta atención a la primera mitad de la URL https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd when When Apache ve que la primera mitad es una URL legal y es una página a la que se permite acceder, se la entrega a la segunda capa detrás. Apache ignora por completo la clave /..;/  en la URL aquí. Cuando la URL se analiza por segunda vez, el siguiente Java (tomcat) entenderá /..;/ como si devolviera una ruta hacia arriba. En este caso,   /login.jsp/   y  /..;/  se cancelarán. La solicitud real vista por Tomcat cambia de a: fileRead.jsp no autentica la solicitud recibida, por lo que el fondo ejecuta directamente fileRead.jsp, lee y devuelve el contenido del archivo /etc/passwd. De acuerdo con las ideas anteriores, en realidad puede encontrar otras URL que explotan vulnerabilidades, como: https://172.16.4.137/tmui/tmui/login/legal.html/..;/..;/locallb/workspace/fileRead .jsp?fileName=/etc/passwd Aquí "https://172.16.4.137/tmui/tmui/login/legal.html" es lo mismo que el anterior "login.jsp", que es una página a la que se puede acceder sin Iniciando sesión. Pero debido a que tiene que volver a subir dos veces, necesita usar dos /..;/ para compensar "/login/legal.html". Volviendo al arreglo temporal oficial mencionado al principio, la esencia del arreglo es agregar las siguientes reglas a la configuración de httpd: incluir '<LocationMatch ".*\.\.;.* ">Redirect 404 /</LocationMatch> Esta regla significa que cuando el servidor http detecta que la URL contiene ..; (punto, punto y coma), devuelve directamente 404. De esta forma, la solicitud que explota la vulnerabilidad no puede llegar al fondo (Segundo piso). Cómo evitar la vulnerabilidad: luego de que se hiciera público en Internet el método de explotación de esta vulnerabilidad, debido a su bajo costo de ataque, una gran cantidad de piratas informáticos comenzaron a intentar usar esta vulnerabilidad para atacar sistemas que utilizan productos F5 BIG-IP. Los piratas informáticos solo necesitan pagar un precio muy pequeño para obtener el control del sistema de destino y causar un gran daño al sistema. Como dice el refrán: "No tengas miedo de que los ladrones roben, pero ten miedo de que los ladrones piensen en ti". Incluso si tal incidente de piratería no le sucedió esta vez, no significa que esté a salvo. Porque es muy probable que el próximo objetivo de los hackers seas tú. Y el equipo técnico profesional de Certik lo ayudará a disipar por completo este tipo de preocupación de "señorita ladrona". El equipo profesional de pruebas de penetración de CertiK controlará dichos incidentes y enviará un informe de advertencia de vulnerabilidad a los clientes lo antes posible para ayudarlos a comprender los detalles de las vulnerabilidades y las medidas de protección. Esta acción asegura que los sistemas de los clientes no sean atacados y que no sufran daños financieros. Al mismo tiempo, como técnico de seguridad, cuando se descubre una nueva vulnerabilidad, no solo necesita saber cómo los piratas informáticos explotan la vulnerabilidad, sino también explorar las razones detrás de la vulnerabilidad, para que pueda acumular experiencia y ser más capaz de descubrir en sistemas complejos Lagunas ocultas. CertiK y sus técnicos siempre considerarán la seguridad como su creencia, aprenderán y crecerán junto con todos.

Tags：

Ripple