EOS:成都链安：F5 BIG-IP远程代码执行漏洞预警CVE-2020-5902-ODAILY_Mooni DeFi

漏洞威胁：高

受影响版本

BIG-IP15.x:15.1.0/15.0.0

BIG-IP14.x:14.1.0~14.1.2

BIG-IP13.x:13.1.0~13.1.3

BIG-IP12.x:12.1.0~12.1.5

成都链安CEO杨霞：DeFi项目方应重视合约安全问题:据官方消息，在由OKEx主办的“后疫情时代：DeFi的机遇与挑战”社群活动上，成都链安创始人兼CEO杨霞谈到最近dForce攻击事件，她表示，DeFi项目正在快速发展壮大，据我们统计截止2020年，锁定在以太坊DeFi应用中资产已达到10亿美元。DeFi项目火爆主要来源它的高收益。DeFi又被称为“去中心化金融”，开放式金融基础，则是高达8%-10%收益率必然会伴随巨大风险。各方DeFi团队开发自己合约产品也是自由发挥；但并没有一个统一的、标准的安全方案去遵守，或者说是必须通过严格安全审计，这就导致各种合约漏洞与相关安全问题层出不穷，此次事件项目方就应该进行重入防护：比如使用OpenZeppelin的ReentrancyGuard，另一方面先修改本合约状态变量，再进行外部调用。任何Defi项目方在开发合约时应重视合约安全问题，以应对各种突发情况和各种非正常使用合约情况，从而避免造成损失；同时建议做好相关安全审计工作，借助专业的区块链安全公司的力量，避免潜在的安全隐患。[2020/4/30]

BIG-IP11.x:11.6.1~11.6.5

分析 | 成都链安：盗窃Upbit交易所黑客开始测试向交易所充值:据成都链安反系统（Beosin-AML）监测显示，Upbit攻击者于28日下午17:08开始向0xf467816地址转移60100ETH，并将少量ETH转往可能随机选取的中间地址。通过该地址，这笔小额ETH目前已经进入疑似火币交易所钱包地址0x5401dbf7da53e1c9。目前攻击者正在分散资金，且通过少量的ETH测试是否能够成功进入交易所。[2019/11/28]

漏洞描述

声音 | Beosin（成都链安）预警：某EOS竞猜类游戏遭受攻击 损失超1200枚EOS:根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现，今日上午 8:53:15开始，黑客yunmen****对EOS竞猜类游戏th****sgames发起攻击。截止到现在，该黑客已经获利超过1200枚EOS。Beosin建议游戏项目方应该加强项目运维工作，在收到安全公司的安全提醒之后第一时间排查项目安全性，才能及时止损，同时也呼吁项目开发者应该重视游戏逻辑严谨性及代码安全性。Beosin提醒类似项目方全方面做好合约安全审计并加强风控策略，必要时可联系第三方专业审计团队，在上链前进行完善的代码安全审计，防患于未然。[2019/4/3]

在F5BIG-IP产品的流量管理用户页面(TMUI)/配置实用程序的特定页面中存在一处远程代码执行漏洞。

未授权的远程攻击者通过向该页面发送特制的请求包，可以造成任意Java代码执行。进而控制F5BIG-IP的全部功能，包括但不限于:执行任意系统命令、开启/禁用服务、创建/删除服务器端文件等。

修复方案

官方建议可以通过以下步骤暂时缓解影响

1)使用以下命令登录对应系统

tmsh

2)编辑httpd组件的配置文件

edit/syshttpdall-properties

3)文件内容如下

include'<LocationMatch".*\\.\\.;.*">Redirect404/</LocationMatch>'

4)按照如下操作保存文件

按下ESC并依次输入:wq

5)执行命令刷新配置文件

save/sysconfig

6)重启httpd服务

restartsysservicehttpd并禁止外部IP对TMUI页面的访问

漏洞建议

成都链安在此建议使用该应用的交易所进行安全自查，按照官方安全建议进行修复，避免造成不必要的经济损失。

标签：EOSDEFEFIDEFIeosreelPeakDeFiMooni DeFiAllWin DeFi

XMR热门资讯