• 發布單位:TWCERT/CC
• 更新日期:2020-07-06
• 點閱次數:2473

• 資安事件摘要

知名網路和網安設備廠商F5，發布針對BIG-IP應用傳遞控制器上重大漏洞的說明以及修復更新，呼籲使用該設備（服務）的企業和組織盡速更新設備軟體至最新版本，以避免受到惡意攻擊。

• 資安情資重點說明

安全技術服務公司POSITIVE TECHNOLOGIES的資安專家發現，網路設備商F5所生產的BIG-IP應用傳遞控制器（ADC, Application Delivery Controller），存在嚴重資安漏洞，漏洞的CVE ID分別為：

1. CVE-2020-5902：遠端程式碼執行（RCE）
2. CVE-2020-5903：跨站腳本攻擊（XSS）

兩個漏洞的CVSS 3.1危險程度評級分別高達10分和7.5分，係屬危害程度嚴重之漏洞。

CVE-2020-5902存在於BIG-IP系列產品的TMUI（Traffic Management User Interface，流量管理介面）當中，攻擊者首先需向設備傳送特製的HTTP請求，藉此訪問設備的管理介面。在未經授權的情況下，該管理介面允許攻擊者遠端執行任意指令與執行任意JAVA程式碼、遠端操縱設備並修改網路設定、危害關鍵資料，在更嚴重的情況下，攻擊者能損壞機構內部網路，並透過設備發動對外攻擊或散布勒索軟體。

CVE-2020-5903駭客可透過已登入的使用者權限執行JavaScript，進行跨站腳本攻擊（XSS）。若使用者具備可執行Bash之管理員權限，則可進行遠端任意指令執行。

由於漏洞存在於軟體層面，因此除了BIG-IP硬體設備，架設在AWS、Azure或阿里雲等企業雲端服務的BIG-IP版本亦會受到漏洞的威脅。

POSITIVE TECHNOLOGIES的新聞稿中指出，全球潛在風險的主機，40%位於美國境內，16%位於中國，而有3%的設備位於我國境內。分析結果顯示，我國使用F5 BIG-IP網路設備的組織，包含多所大學與國家級研究機構等。

F5公司於第一時間接獲通報並釋出更新，提供受影響機構進行漏洞修補。

• 建議採取資安強化措施

使用F5 BIG-IP設備的機構或企業，應檢查目前所安裝之軟體版本，是否受到漏洞影響，並根據F5所提供的解決方式，安裝更新軟體以修補漏洞。由於部分受影響版本的修復更新尚未釋出，機構應參考F5公司提供的修復指南來修補漏洞影響。

• CVE編號：CVE-2020-5902、CVE-2020-5903
• 影響產品/版本：BIG-IP 軟體版本11.x、12.x、13.x、14.x、15.x
• 解決方案：使用廠商提供的部分更新版程式進行漏洞修復，或是參考廠商之漏洞修復指南。