نقص RCE حیاتی با نمره ۱۰ در مقیاس CVSS روی F5 BIG-IP

محققان امنیت سایبری در تاریخ ۴ جولای ۲۰۲۰ یک هشدار امنیتی به سازمان‌ها و دولت‌ها در سراسر جهان صادر کردند تا بلافاصله یک آسیب‌پذیری اجرای کد از راه دور بسیار حیاتی را وصله کنند که روی دستگاه‌های شبکه BIG-IP F5 در حال اجرا روی سرورهای امنیتی قرار دارد.

این آسیب‌پذیری که کد CVE-2020-5902 به آن اختصاص داده‌شده و با نمره CVSS بالای ۱۰ از ۱۰ در دسته‌بندی آسیب‌پذیری‌های حیاتی قرار می‌گیرد[۱]، می‌تواند به مهاجمان از راه دور اجازه دهد کنترل کامل سیستم‌های مورد هدف را به دست گیرند و درنهایت روی ‌داده‌های برنامه‌ای که مدیریت می‌کنند، کنترل بیشتری داشته باشند.

به گفته میخائیل کلیوچنیکوف، یک محقق امنیتی در Positive Technologies که این نقص را کشف کرده و آن را به F5 Networks گزارش داده است، این موضوع در یک ابزار پیکربندی به نام رابط کاربری مدیریت ترافیک^(۱) (TMUI) برای کنترل‌کننده‌ی تحویل برنامه^(۲) BIG-IP (ADC) قرار دارد.

BIG-IP ADC توسط شرکت‌های بزرگ، مراکز داده و محیط‌های رایانش ابری استفاده می‌شود و به آن‌ها امکان implement application acceleration، load balancing، rate shaping، SSL offloading وweb application firewall را می‌دهد.

نقص F5 BIG-IP ADC RCE  یا CVE-2020-5902

یک مهاجم غیرمجاز می‌تواند با ارسال درخواست HTTP دستکاری‌شده به سرور آسیب‌پذیر و میزبان ابزار Interface Management Traffic (TMUI) برای پیکربندی BIG-IP، از این آسیب‌پذیری از راه دور بهره‌برداری کند.

بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری می‌تواند به مهاجمان اجازه دهد کنترل کامل مدیر روی دستگاه را به دست آورند، درنهایت آن‌ها را مجبور به انجام هرگونه کار موردنظر خود در دستگاه در معرض خطر و بدون هیچ مجوزی می‌کند.

کلوچنیکوف دراین‌باره گفت[۲]: “یک مهاجم می‌تواند فایل‌ها را ایجاد یا حذف کند، سرویس‌ها را غیرفعال کند، اطلاعات را ره‌گیری کند، دستورات سیستم دلخواه و کد جاوا را اجرا کند، سیستم را کاملاً به خطر بی اندازد و اهداف دیگری مانند شبکه داخلی را دنبال کند.”

“RCE در این مورد ناشی از نقص امنیتی در مؤلفه‌های مختلف، مانند مواردی است که باعث بهره‌برداری از دایرکتوری‌ها می‌شود.”

این شرکت امنیتی می‌گوید از ژوئن سال ۲۰۲۰، بیش از ۸٫۰۰۰ دستگاه آلوده به‌صورت مستقیم در معرض اینترنت شناسایی ‌شده‌اند که ۴۰ درصد از آن‌ها در ایالات‌متحده، ۱۶ درصد در چین، ۳ درصد در تایوان، ۲٫۵ درصد در کانادا و اندونزی و کمتر از ۱ درصد آن‌ها در روسیه مستقر هستند.

بااین‌حال کلوچنیکوف همچنین می‌گوید که اکثر شرکت‌هایی که از محصول آسیب‌دیده استفاده می‌کنند، امکان دسترسی به رابط پیکربندی آسیب‌پذیر در اینترنت را ندارند.

نقص F5 BIG-IP ADC XSS یا CVE-2020-5903

علاوه بر این کلوچنیکوف همچنین یک آسیب‌پذیری XSS (اختصاص داده‌شده با کد CVE-2020-5903 و با نمره ۷٫۵ در CVSS) را در رابط پیکربندی BIG-IP گزارش داد که به مهاجمین از راه دور امکان می‌دهد کد جاوا اسکریپت مخرب را به‌عنوان کاربر مدیر واردشده اجرا کنند[۳].

این محقق دراین‌باره گفت: اگر کاربر از امتیازات مدیر و دسترسی به Advanced Shell (bash) برخوردار باشد، بهره‌برداری موفقیت‌آمیز می‌تواند به سازش کامل BIG-IP از طریق RCE منجر شود.

نسخه‌های تحت تأثیر و به‌روزرسانی‌های منتشرشده

به شرکت‌ها و مدیران تحت تأثیر که نسخه‌های آسیب‌پذیر BIG-IP یعنی نسخه‌های ۱۱٫۶٫x ، ۱۲٫۱٫x ، ۱۳٫۱٫x ، ۱۴٫۱٫x ، ۱۵٫۰٫x ، ۱۵٫۱٫x را دارند، به‌شدت توصیه می‌شود تا دستگاه‌های خود را به آخرین نسخه‌ها یعنی  ۱۱٫۶٫۵٫۲، ۱۲٫۱٫۵٫۲، ۱۳٫۱٫۳٫۴، ۱۴٫۱٫۲٫۶ و ۱۵٫۱٫۰٫۴ در اسرع وقت به‌روز کنند.

علاوه بر این، به کاربران بازارهای ابر عمومی مانند AWS (خدمات وب آمازون)، Azure، GCP و علی‌بابا توصیه می‌شود که نسخه‌های BIG-IP Virtual Edition (VE) خود را به نسخه‌های۱۱٫۶٫۵٫۲ ،۱۲٫۱٫۵٫۲ ، ۱۳٫۱٫۳٫۴ ، ۱۴٫۱٫۲٫۶، ۱۵٫۰٫۱٫۴ یا ۱۵٫۱٫۰٫۴ به‌روزرسانی کنند.

منابع

[۱] https://support.f5.com/csp/article/K52145254

[۲] https://www.ptsecurity.com/ww-en/about/news/f5-fixes-critical-vulnerability-discovered-by-positive-technologies-in-big-ip-application-delivery-controller

[۳] https://support.f5.com/csp/article/K43638305

[۴] https://thehackernews.com/2020/07/f5-big-ip-application-security.html

(۱) Traffic Management User Interface
(۲) application delivery controller