Primera versión | CertiK: análisis en profundidad de la vulnerabilidad de ejecución remota de código F5 BIG-IP

Temprano esta mañana, Twitter y varios foros técnicos explotaron, y la gente en el círculo de seguridad estaba discutiendo la vulnerabilidad de ejecución remota de código en los dispositivos F5. El contenido de muchas discusiones se trata principalmente de compartir cómo encontrar objetivos y explotar vulnerabilidades, y no hay un análisis de las causas de las vulnerabilidades. Los investigadores de seguridad de CertiK descargaron el programa vulnerable, crearon un entorno para reproducir la vulnerabilidad, analizaron la causa de la vulnerabilidad y se lo compartieron a continuación. F5 BIG-IP es una plataforma de entrega de aplicaciones de F5 Corporation de los Estados Unidos que integra funciones tales como administración de tráfico de red, administración de seguridad de aplicaciones y equilibrio de carga. Mikhail Klyuchnikov, investigador de Positive Technologies, descubrió una vulnerabilidad de ejecución remota de código en su herramienta de configuración Traffic Management User Interface (TMUI), con el número CVE CVE-2020-5902. La puntuación CVSSv3 de esta vulnerabilidad es de 10. Los atacantes pueden usar esta vulnerabilidad para crear o eliminar archivos, cerrar servicios, ejecutar comandos arbitrarios del sistema y, finalmente, obtener el control total del servidor. Para la expresión específica de CVE, consulte el enlace de referencia 1 en la parte inferior del artículo. Versiones de software BIG-IP afectadas [15.0.0-15.1.0.3] [14.1.0-14.1.2.5] [13.1.0-13.1.3.3] [12.1.0-12.1.5.1] [11.6.1-11.6] . 5.1] Vulnerabilidad explotada LBank Blue Shell lanzó CSPR (Casper) a las 20:00 el 3 de mayo y abrió el comercio USDT: Según el anuncio oficial, LBank Blue Shell lanzó CSPR (Casper) a las 20:00 el 3 de mayo y abrió el comercio USDT, y recarga abierta al mismo tiempo, los datos muestran que la red Casper es la primera cadena de bloques de prueba de participación en tiempo real basada en la especificación CasperCBC. Casper está diseñado para acelerar la adopción de la tecnología blockchain por parte de las empresas y los desarrolladores en la actualidad, al tiempo que garantiza su rendimiento en el futuro a medida que evolucionan las necesidades de los participantes de la red. [2021/5/3 21:19:51] Lea cualquier archivo: curl-k 'https://[F5 Host]/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead . jsp?fileName=/etc/passwd'Ejecución remota del comando tmsh: curl -k 'https://[F5 Host]/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd .jsp?command=list+auth+user+admin'Plan de reparación temporal oficial (la reparación se analizará más adelante):  Primer lanzamiento| La base de prácticas de seguridad de software y tecnología Blockchain se estableció oficialmente: Golden Finance Según los informes, hoy , se estableció oficialmente la base de prácticas de seguridad de tecnología y software de blockchain establecida conjuntamente por China Soft Association Blockchain Branch, la Universidad de Seguridad Pública Popular y los departamentos relevantes de la Oficina de Seguridad Pública de Heze. Al mismo tiempo, Song Ailu, subsecretaria general de la rama de cadena de bloques de la Asociación de Software de China, fue contratada como experta especial en la base de prácticas de seguridad de software y tecnología de cadena de bloques. La base de prácticas de seguridad de software y tecnología blockchain involucra principalmente las siguientes áreas: transacciones ilegales de moneda digital y lavado de dinero, esquemas piramidales de blockchain y fraude de telecomunicaciones, juegos de azar en línea, pago de cuatro partes, registro de marca fraudulento, etc., gobernanza social conjunta, seguridad urbana , tecnología de punta Los expertos de la industria en el campo cooperan con la Asociación de Policía. Según informes públicos, los órganos de seguridad pública de la ciudad de Heze acaban de descifrar recientemente un gran caso de fraude en la red de telecomunicaciones, aplastaron a varias bandas de fraude sospechosas de usar préstamos en línea e invertir en "Bitcoin", arrestaron a 83 sospechosos y confiscaron y congelaron el fondos involucrados 27 millones de yuanes. [2020/7/21] Recurrencia de vulnerabilidad Después de registrar una cuenta en el sitio web oficial de F5, puede descargar el software BIG-IP vulnerable de la biblioteca de recursos de F5. Visite el enlace de referencia 2 para descargar la imagen de la máquina virtual de BIG-IP TMOS (Sistema operativo de gestión de tráfico, sistema operativo de gestión de tráfico). El equipo técnico de CertiK descargó "BIGIP-15.0.0-0.0.39.ALL_1SLOT-vmware.ova-Image fileset for VMware ESX/i Server" debido al uso de Vmware Fusion. Cargue la imagen (importar) en Vmware Fusion: Dynamic | Trusted Educational Digital Identity debutó en el distrito de Baiyun, Guangzhou, utilizando blockchain y otras tecnologías: el 25 de diciembre, la ceremonia de lanzamiento de la aplicación piloto Trusted Educational Digital Identity (tarjeta educativa) en Guangdong Provincia y El seminario de aplicación se llevó a cabo en el distrito de Baiyun, ciudad de Guangzhou. Según los informes, la integración de la identidad digital de Trusted Education adopta tecnologías básicas como el cifrado doméstico y la cadena de bloques, y emite de forma innovadora identidades digitales integradas en el entorno de red de "computación en la nube, computación de borde y computación móvil", realiza una gestión integrada de claves y construye " Cadena de identidad educativa de confianza". (Red de noticias de China) [2019/12/25] Una vez completada la carga, use el nombre de usuario y la contraseña predeterminados para iniciar sesión en el sistema: Nombre de usuario: root Contraseña: predeterminada Después de inicializar el sistema, use el comando "ifconfig" para consulta la dirección IP de la máquina virtual. La dirección IP de la máquina virtual BIG-IP TMUI del equipo técnico de CertiK es "172.16.4.137". Acceda a la interfaz de inicio de sesión de BIG-IP TMUI en el navegador: https://172.16.4.137/tmui/login.jsp Reproduzca cualquier lectura de archivo: acceda a la siguiente dirección en el navegador para leer el contenido del archivo "/etc/passwd" : https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd Primera versión | Las transferencias anteriores de 18 000 BTC fueron organizadas internamente por el intercambio Bithumb : Beijing El sistema de monitoreo de cadena de Lian An encontró que una transferencia de 18,000 BTC ocurrió a las 17:07 el 24 de octubre, hora de Beijing. Después del análisis, esto fue en realidad un arreglo interno del intercambio Bithumb, que transfirió una gran cantidad de 100 a 200 BTC UTXO en unidades de BTC se empaquetan en 18 UTXO de 1000 BTC y se transfieren a su dirección interna. Por lo general, la clasificación de UTXO de varios "valores nominales" a nivel de número entero es una operación regular del intercambio. [2019/10/24] Reproducir la ejecución del comando tmsh: https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp?command=list+auth+user+admin Vulnerabilidad análisis Antes de ingresar al análisis de vulnerabilidad, una cosa debe quedar clara: se puede acceder a los archivos fileRead.jsp y tmshCmd.jsp en el exploit de vulnerabilidad después de que el usuario inicie sesión. La siguiente captura de pantalla muestra la diferencia entre acceder a la siguiente URL antes y después de iniciar sesión: La tasa de participación de votantes para la elección del súper nodo EOS debut dorado alcanzó el 6,49 %: Transmisión de datos de Golden Finance, a las 15:50 del 13 de junio, hora de Beijing, el La tasa de votantes de EOS alcanzó el 6,49%. EOS Gravity Zone y EOS Canon, como dos equipos de campaña de súper nodo de China, ocuparon temporalmente el quinto y sexto lugar. Entre ellos, el número total de votos para EOS Gravity Zone fue de 9,03 millones, lo que representa el 2,96 %; el número total de votos para EOS Canon fue de 8,77 millones, lo que representa el 2,87 %. EOSflytomars, que había surgido antes, ocupó temporalmente el puesto 17, con un total de 6,3 millones de votos, lo que representa el 2,07%. Entre los 30 mejores equipos de campaña de supernodos, ocho equipos son de China. [2018/6/13]https://172.16.4.137/tmui/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd Acceso antes de iniciar sesión: después de ser redirigido a la interfaz de inicio de sesión e ingresar la contraseña de la cuenta para inicie sesión en la interfaz de administración Vuelva a visitar, ejecute fileRead.jsp para leer el archivo. Aunque fileRead.jsp y tmshCmd.jsp son los archivos que finalmente se explotan en el PoC, no son la causa de la vulnerabilidad. La esencia de esta vulnerabilidad es eludir la restricción de inicio de sesión utilizando los diferentes métodos de análisis de URL entre Apache y Java en segundo plano (tomcat), y acceder al módulo JSP en segundo plano sin autorización. Los técnicos de CertiK notaron por primera vez este tipo de vulnerabilidad en el discurso BlackHat de Orange en 2018: "Breaking Parser Logic Take Your Path Normalization Off and Pop 0Days Out". Puede ver la transcripción del discurso aquí (enlace de referencia 2). Aquí podemos entender que el servidor de fondo de F5 BIG-IP analiza dos veces la solicitud de URL recibida, la primera vez es httpd (Apache) y la segunda es Java (tomcat) de la última capa. analizado por Apache, Apache presta atención a la primera mitad de la URL https://172.16.4.137/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp?fileName=/etc/passwd when When Apache ve que la primera mitad es una URL legal y es una página a la que se permite acceder, se la entrega a la segunda capa detrás. Apache ignora por completo la clave /..;/  en la URL aquí. Cuando la URL se analiza por segunda vez, el siguiente Java (tomcat) entenderá /..;/ como si devolviera una ruta hacia arriba. En este caso,   /login.jsp/   y  /..;/  se cancelarán. La solicitud real vista por Tomcat cambia de a: fileRead.jsp no autentica la solicitud recibida, por lo que el fondo ejecuta directamente fileRead.jsp, lee y devuelve el contenido del archivo /etc/passwd. De acuerdo con las ideas anteriores, en realidad puede encontrar otras URL que explotan vulnerabilidades, como: https://172.16.4.137/tmui/tmui/login/legal.html/..;/..;/locallb/workspace/fileRead .jsp?fileName=/etc/passwd Aquí "https://172.16.4.137/tmui/tmui/login/legal.html" es lo mismo que el anterior "login.jsp", que es una página a la que se puede acceder sin Iniciando sesión. Pero debido a que tiene que volver a subir dos veces, necesita usar dos /..;/ para compensar "/login/legal.html". Volviendo al arreglo temporal oficial mencionado al principio, la esencia del arreglo es agregar las siguientes reglas a la configuración de httpd: incluir '<LocationMatch ".*\.\.;.* ">Redirect 404 /</LocationMatch> Esta regla significa que cuando el servidor http detecta que la URL contiene ..; (punto, punto y coma), devuelve directamente 404. De esta forma, la solicitud que explota la vulnerabilidad no puede llegar al fondo (Segundo piso). Cómo evitar la vulnerabilidad: luego de que se hiciera público en Internet el método de explotación de esta vulnerabilidad, debido a su bajo costo de ataque, una gran cantidad de piratas informáticos comenzaron a intentar usar esta vulnerabilidad para atacar sistemas que utilizan productos F5 BIG-IP. Los piratas informáticos solo necesitan pagar un precio muy pequeño para obtener el control del sistema de destino y causar un gran daño al sistema. Como dice el refrán: "No tengas miedo de que los ladrones roben, pero ten miedo de que los ladrones piensen en ti". Incluso si tal incidente de piratería no le sucedió esta vez, no significa que esté a salvo. Porque es muy probable que el próximo objetivo de los hackers seas tú. Y el equipo técnico profesional de Certik lo ayudará a disipar por completo este tipo de preocupación de "señorita ladrona". El equipo profesional de pruebas de penetración de CertiK monitoreará dichos incidentes y enviará un informe de advertencia de vulnerabilidad a los clientes lo antes posible para ayudarlos a comprender los detalles de las vulnerabilidades y las medidas de protección. Esta acción asegura que los sistemas de los clientes no sean atacados y que no sufran daños financieros. Al mismo tiempo, como técnico de seguridad, cuando se descubre una nueva vulnerabilidad, no solo necesita saber cómo los piratas informáticos explotan la vulnerabilidad, sino también explorar las razones detrás de la vulnerabilidad, para que pueda acumular experiencia y ser más capaz de descubrir en sistemas complejos Lagunas ocultas. CertiK y sus técnicos siempre considerarán la seguridad como su creencia, aprenderán y crecerán junto con todos

Tags：

Ripple