Positive Technologies网络安全人员Mikhail Klyuchnikov在BIG-IP ADC (应用交付控制器，application delivery controller)的流量管理用户接口（Traffic Management User Interface，TMUI）中发现了一个高危安全漏洞，漏洞CVE编号为CVE-2020-5902，CVSS评分为10分。远程攻击者可以监控管理的应用数据随后完全控制目标系统。

BIG-IP ADC广泛应用于大型企业，数据中心、云计算平台中，可以实现应用加速、负载均衡、SLL过载、web应用防火墙等功能。

CVE-2020-5902

未认证的攻击者可以通过发送伪造的恶意HTTP请求到含有TMUI工具的有漏洞的服务器来远程利用该漏洞。成功利用该漏洞可以完全控制设备的管理员权限，无需授权就可以在被黑的设备上执行任意任务，包括：

· 创建和删除文件；

· 禁用服务；

· 拦截信息；

· 运行任意系统命令和java代码；

· 完全入侵系统；

· 寻找其他攻击目标，比如内网中的其他设备。

CVE-2020-5903

CVE-2020-5903是F5 BIG-IP设备的ADC XSS漏洞，CVSS评分为7.5。远程攻击者利用该漏洞可以以登陆的管理员用户权限运行恶意JS代码。

如果用户有管理员权限并可以访问Advanced Shell (bash)，成功利用后可以通过RCE实现BIG-IP 设备的完全控制。

漏洞在野利用

NCC 研究人员称漏洞公开不到3天，已经有黑客利用这些漏洞对F5 BIG-IP网络设备发起在野攻击了。研究人员发现攻击者正在从蜜罐系统中读取不同的文件，并通过内置的JSP文件来执行命令。通过这种方式攻击者可以复制加密的管理员口令、设置等等。

受影响的设备和补丁

截至2020年6月，有超过8000台F5 BIG-IP网络设备暴露在互联网上，其中财富50强的公司中有48家使用F5 BIG-IP设备。这些联网的设备中，有40%位于美国、19%位于中国（其中台湾地区3%）、2.5%位于加拿大和印度、约1%位于俄罗斯。

受影响的设备版本包括BIG-IP v11.6、12.1.x、13.1.x、14.1.x、15.0.x和15.1.x版本。研究人员建议用户更新到最新的11.6.5.2、12.1.5.2、13.1.3.4、14.1.2.6、15.1.0.4版本。

此外，使用AWS、阿里云、Azure等公有云服务的用户也建议使用BIG-IP Virtual Edition (VE) v11.6.5.2、12.1.5.2、13.1.3.4、14.1.2.6、15.0.1.4和15.1.0.4版本。

本文翻译自：https://www.zdnet.com/article/hackers-are-trying-to-steal-admin-passwords-from-f5-big-ip-devices/ 与 https://thehackernews.com/2020/07/f5-big-ip-application-security.html如若转载，请注明原文地址