F5 BIG-IP存在严重漏洞，攻击者可完全控制系统

研究人员发现F5 Networks公司的BIG-IP应用交付控制器（ADC）存在严重和高危安全漏洞，远程攻击者可利用漏洞完全控制目标系统。

这些漏洞是由网络安全公司Positive Technologies的研究人员发现的。厂商发布安全公告，并宣称有可用的补丁后，该公司的研究人员披露了这些漏洞。

BIG-IP为组织提供应用程序加速、负载均衡、速率修整、SSL卸载和Web应用程序防火墙功能。该产品获得世界许多大型公司的青睐。

Positive Technologies公司发现的严重漏洞编号为CVE-2020-5902，CVSS评分为10。远程攻击者可利用该漏洞执行任意代码。该安全公司称，它已经识别出超过8000台易感染设备直接暴露在互联网上，其中40%位于美国，19%位于中国，其中3%位于中国台湾。然而，它指出使用该受影响产品的大部分公司都不允许直接从互联网访问其设备脆弱的配置接口。

根据F5的说法，该漏洞影响Traffic Management User Interface（TMUI）配置实用程序。厂商已经确认利用该漏洞可“完全控制系统”。

“通过利用该漏洞，具有BIG-IP配置实用程序访问权限的远程攻击者，在未授权的情况下，可执行代码。”Positive Technologies的研究人员Mikhail Klyuchnikov解释道。“攻击者可以创建或删除文件，禁用服务，劫持信息，运行任意系统命令和Java代码，完全入侵系统，并且寻求更多的目标，例如内部网络。在这种情况下，RCE是由多个组件中的安全漏洞导致的，例如可导致目录遍历的漏洞。”

Positive Technologies还因在同一BIG-IP配置实用程序中发现一个高危跨站脚本漏洞（CVE-2020-5903）而得到致谢。

F5在安全公告中表示，“攻击者可利用该漏洞在当前登录的用户的上下文中运行JavaScript。如果该用户是具有Advanced Shell（bash）访问权限的管理员用户，成功利用该漏洞，攻击者可通过远程代码执行完全入侵该BIG-IP系统。”